Soucis switchs Procurve Fermé

Question

Bonjour à tous, 

Je me tourne vers la communauté CCM pour 3 soucis que je rencontre sur le réseau de mon entreprise. Nous n'utilisons que des switchs Procurve L2 et L3 (environ 70). J'ai mis en place un 5406zl comme coeur de réseau et je déploie progressivement des VLANs (pas de VoIP pour l'instant). Voici mes petits problèmes :

1°) Le routage a été mis en place avec la commande 'ip routing' pour que toutes les machines puissent dialoguer mais est-il possible d'exclure un ou plusieurs VLAN afin qu'ils soient isolés ?

2°) Depuis la mise en place du nouveau coeur, il est devenu la passerelle par défaut de toutes les machines en lieu et place de notre TelmatWeb (firewall). Pas de problème hormis pour les postes 'particuliers' en IP fixe pour lesquels des règles spécifiques sont définies sur le TelmatWeb. Ces règles ne s'appliquent plus. Je pense que c'est à cause du NAT fait par le coeur (5406zl), non ? Comment y remédier ? Si je remets le TelmatWeb en passerelle, pas de problème mais je ne peux pas mettre le poste concerné dans un VLAN.

3°) J'ai 2 switchs 2910al sur lesquels sont connectés TOUS les serveurs (environ 60 physiques et virtuelles) raccordés en fibre 10 Gb sur le coeur (toujours ce 5406zl !). Depuis une boucle sur le réseau (et oui, ça arrive), ils ne sont plus joignables par IP (plus de ping ni d'hyper terminal ni même par Procurve Manager). Le seul moyen d'y accéder est de se brancher directement dessus en console. Pourtant ils fonctionnent correctement. Que puis-je faire pour les récupérer ? J'ai déjà eu ce problème sur d'autres switchs et la solution était de les rebooter électriquement, mais pour les deux 2910 ce n'est pas possible.

Voila, j'espère avoir été clair.

Merci de votre aide et bonne journée à tous. Pierre.

Configuration: Windows XP SP3/ Firefox 3.6.13

brupala · Answer

Salut,
bon,
pour le 1: oui, c'est tout à fait possible, il suffit de ne pas mettre d'adresse ip sur le vlan au niveau du switch L3: il n'y aura plus de routage des adresses ip de ce vlan (sauf si il y a un autre routeur, mais là c'est du vice quand on veut isoler un réseau ip :-)
donc , pas de passerelle par défaut sur les postes non plus.

pour le 2: j'espère que tu ne fais pas de nat sur ton switch L3, ce n'est vraiment pas fait pour ça. je suppose que les adresses ip des postes ont changé donc les règles du parefeu les concernant ont changé, il suffit de reconfigurer le parefeu pour qu'il applique ces règles aux nouvelles adresses.

pour le 3:
pourquoi un A/M n'est pas possible ? pour ne pas arrêter le réseau ?, il faudra le faire à une période creuse, c'est tout.
sinon, tu peux essayer un shutdown / up sur les ports concernés par la boucle, ça devrait les débloquer

PadaOneMX · Answer

Bonjour et merci Brupala,

1°) Bien vu (comme d'hab !), c'est simple et efficace, je n'y avais pas pensé... Et il n'y a pas d'autres routeurs sur le réseau !

2°) Je n'ai pas activer de NAT, mais peut-être est-il activé par défaut, bien que je n'y crois pas et qu'il n'y a rien qui s'apparente à du NAT quand je fais un 'show running config' ou '?' (aide).
De plus, les postes en adressage fixe pour lesquels il y a des règles particulières sur le firewall ne sont pas dans un VLAN et n'ont pas été réadressés. Pour ces postes, les règles s'appliquent lorsque je mets le Firewall en passerelle alors que les règles ne s'appliquent pas lorsque le 5406zl est en passerelle, sans modifier autre chose que la passerelle.
C'est pour cela que je pense à du NAT. Evidemment, la passerelle du 5406zl est le firewall.
J'espère que je suis clair ?

3°) Un redémarrage des switchs serveurs est possible dans l'absolu mais pas vraiment évident... Par contre la boucle n'a pas été faite sur un de ces switchs ni sur le coeur, mais sur un switch dans un service et depuis plus de communication IP avec ces 2 switchs (les autres dans le même cas ont été redémarrés).

Encore merci pour ces précieux conseils.

Pierre.

PadaOneMX · Answer

Bonjour,

Mon plan d'adressage n'a pas changé pour ces postes, d'où mon interrogation.
Nous passons aux vlans car nous avons plus de 600 machines dans un unique réseau. Puisqu'il est très compliqué de tout modifier, notre réseau actuel est devenu notre 'DEFAULT_VLAN' et je déploie progressivement les VLANs.
Exemple :
Depuis toujours nous avons :
DEFAULT_VLAN => 192.168.0.0/16
Gateway => 192.168.10.1 (TelmatWeb)
Depuis l'arrivée du nouveau coeur (192.168.50.1) :
VLAN 1 => 192.169.0.0/20
Gateway => 192.169.15.254
VLAN 2 => 192.169.16.0/20
Gateway => 192.169.31.254
VLAN 3 => 192.169.32.0/20
Gateway => 192.169.47.254
VLAN 4 => 192.169.48.0/20
Gateway => 192.169.63.254
.....
Logiquement les passerelles par défaut des VLANs sont les adresses des VLANs définis sur le coeur. Tout fonctionne parfaitement.
Sans rien modifier, si j'ai un poste en adressage fixe avec la config :
192.168.210.199
255.255.0.0
192.168.10.1
Avec des règles définies sur le TelmatWeb pour cette IP. 
Si je lui change sa passerelle et que je remplace le TelmatWeb par le 5406zl :
192.168.210.199
255.255.0.0
192.168.50.1
Tout fonctionne sur le poste mais les règles définies sur le Telmat ne s'appliquent plus.
La passerelle par défaut du coeur 192.168.50.1 est le Telmat 192.168.10.1.

C'est pour cela que je pensais à du NAT.

Suis-je clair Brupala ?

Dans tous les cas, merci.

PadaOneMX · Answer

C'est exact,
le seul changement sur le poste est la passerelle, qui devient le 192.168.50.1 (switch L3) à la place de mon firewall 192.168.10.1.
La passerelle par défaut du L3 192.168.50.1 est bien 192.168.10.1.
Avec 10.1 en passerelle, mes règles du firewall s'appliquent correctement alors qu'elles ne s'appliquent pas lorsque la passerelle est 50.1.
Le problème est que le peploiement de mes VLANs est ralenti car lorsque je place un poste dans un VLAN avec une passerelle en 192.169.15.254 par exemple, les règles du firewall ne s'appliquent pas non plus...

dur dur....

Merci encore.

Soucis switchs Procurve

4 réponses

Discussions similaires