HP switches, nieuw netwerk

[StarWing]

Aangezien er hier ook nogal wat netwerk kennis aanwezig is me dunkt, ga ik hier ook mijn probleem in de groep gooien. Onderstaande is een schaamteloze C/P vanop de tweakers website:


Ik heb een taak in de schoot geworpen gekregen voor ons dochterbedrijf. Aangezien ik niet echt een netwerk-guy ben, zou ik enkele tips willen vragen.

Al redelijk wat dingen gelezen, en nog meer gezocht, maar voor een leek zoals ik slaan de termen me soms om de oren en staan er ook heel wat tegenstrijdigheden te lezen, wat het er niet gemakkelijker op maakt.

Het netwerk bestaat uit:
-1x HP Procurve 4208 chassis
-6x HP Procurve 1810-48G
-1x oude 3com vlan capable recuperatie switch

De bedoeling is om de 4208 de "core" te maken en van daaruit de verbindingen te maken naar de andere switches (duh).
Er zitten op de config 7 vlans gedefinieerd, dewelke allemaal "tagged" zijn op alle switches.
De switches zijn op de volgende manier verbonden, vanuit de 4208 gezien

-1 trunk van 2x copper naar 1 1810
-1 trunk van 2x copper naar 1 1810
-3x naar 3 1810's via 1 enkele glas
-1x naar de 3com via 1 enkele glas.

Ik ben al zover dat alle switches op de laatste FW staan, de basis cfg is gedaan en alle (VLAN) functionaliteit werkt. Doch heb ik al eea gelezen, maar ik vind veel tegenstrijdigheden, daarom de volgende praktische vragen:

*Trunks, gebruik ik in dit geval best statische trunks of gebruik ik LACP ? Momenteel heb ik statische in gebruik, dewelke doen wat ze moeten doen.

*Zet ik, op de 1810's loop protection aan via de GUI, en doe ik dit dan op de clients poorten, of ook op de trunks (en/of op de poorten van de trunks)

*Zet ik op de 4208 STP aan? Via de GUI kan ik enkel aan/uit kiezen. Ik heb begrepen dat ik dit via de CLI ook kan op bepaalde poorten. In de gui noemt dit overigens "log network problems" en kan ik kiezen uit 3 niveau's. Zet ik deze best aan, en zo ja, op welke poorten/trunks ?


Ik heb gelezen dat ik de "loop protection" kan opzetten op de 4208 via de CLI, doch dezelfde vraag. Aan/uit en op welke poorten ?

Zijn er nog andere zaken die ik best aanpas, er rekening mee houdende dat er op deze locatie geen ITer aanwezig is en alles, buiten de initiële plaatsing/indienststelling het onderhoud vanop een andere locatie moet gebeuren.

[Kenw00t]

Hier kan je het verschil lezen tussen Spanning Tree (STP) en Loop Protection bij HP. Aangezien de 1810 reeks STP niet ondersteunt, kan je dit enkel op de 4208 gebruiken. Ik heb echter geen ervaring met STP op een enkele switch, aangezien dit meestal toegepast wordt in een netwerk waar alle switchen STP ondersteunen. Ik vraag me dan ook af of STP hier nut heeft (wie weet meer?).

Loop Protection beschermt een switch tegen een broadcast storm op een poort waarop een andere unmanaged switch hangt. Indien je gebruikers in staat zijn om zelf simpele switches toe te voegen op het netwerk én zo lomp zouden zijn om een loop te leggen, dan schakel je dit best overal in...

Met de 1810 reeks heb ik echter slechte ervaringen aangezien de featureset beperkt is (geen STP), en het ding niet betrouwbaar is (de MAC-adressen tabel klopt gewoon niet!). Dit spul is misschien goed voor op LAN-parties, maar niet voor bedrijven.

[ITnetadmin]

Spanning tree, iirc, is het protocol om switchen onderling redundant te linken (eigenlijk loopen), waar de switchen dan zelf kiezen welke link ze gebruiken, zodat er geen loop vormt. Heeft dus geen nut als slechts 1 switch dit aankan.

1810 heb ik anders wel goeie ervaringen mee.

[ Post made via mobile device ]

[bitbite]

Misschien handig om je GoT topic te crosslinken, ter referentie.

De switches zijn op de volgende manier verbonden, vanuit de 4208 gezien

Zonder meer info ga ik er even blind van uit dat dit een goede configuratie is voor de vereisten en gebruiksscenario.

*Trunks, gebruik ik in dit geval best statische trunks of gebruik ik LACP ? Momenteel heb ik statische in gebruik, dewelke doen wat ze moeten doen.

Als je geen geavanceerde dingen (inter-switch trunks) doet zou ik kiezen voor statische trunks, dat is "one less thing to fail". Zeker als je huidige config reeds werkt.

*Zet ik, op de 1810's loop protection aan via de GUI, en doe ik dit dan op de clients poorten, of ook op de trunks (en/of op de poorten van de trunks)

Op alle poorten. Dit beschermt je tegen de situatie waarin een fijne collega een losslingerende netwerkkabel inplugged en zo een switchpoort met switchpoort verbindt. Of "een switchke van thuis" (of <shudder> wifi router met ingebouwde switch) meebrengt en daar grappige dingen mee probeert.

*Zet ik op de 4208 STP aan? Via de GUI kan ik enkel aan/uit kiezen. Ik heb begrepen dat ik dit via de CLI ook kan op bepaalde poorten. In de gui noemt dit overigens "log network problems" en kan ik kiezen uit 3 niveau's. Zet ik deze best aan, en zo ja, op welke poorten/trunks ?

Met (R)STP maak je eigenlijk de keuze wat er gebeurt als (a) een switch uitvalt en (b) iemand een switch inplugged. Aangezien je een sternetwerk van 1 niveau diep uitbouwt denk ik niet dat je veel voordeel doet.

De GUI van de procurves ken ik niet, maar logging klinkt toch heel anders dan STP?

Ik heb gelezen dat ik de "loop protection" kan opzetten op de 4208 via de CLI, doch dezelfde vraag. Aan/uit en op welke poorten ?

Inschakelen op alle poorten, zie hoger.

Zijn er nog andere zaken die ik best aanpas, er rekening mee houdende dat er op deze locatie geen ITer aanwezig is en alles, buiten de initiële plaatsing/indienststelling het onderhoud vanop een andere locatie moet gebeuren.

In zo'n geval zou ik toch eens durven kijken naar out-of-band management, zodat je nog binnen kan op je switchen. Een manier om de switchen te loggen (de 42xx ondersteunen syslog denk ik). Een (linux?) doosje waar je op afstand op kan inloggen om dingen te testen/monitoren is nooit weggegooid geld, en kan de voorgaande twee functies mee verzorgen.

Je hebt het ook overal over wired netwerk. Als het voor de gebruikers gemakkelijk kan zijn, is de kans groot dat er wifi zal ontstaan. Je kan best zorgen dat je dan zelf de touwtjes in handen hebt en dat het niet clandestien gebeurt.

Wat ook nuttig is, is ter plaatse kennis maken met het lokale personeel, en een pointman aanduiden in wie je het meest vertrouwen (minste aantal linkerhanden) hebt. Iemand die het verschil kent tussen een ethernet- en usb-kabel of geen heilige schrik heeft van een switch te rebooten kan het verschil maken tussen een interventie ter plaatse vs enkele minuten telefoonsupport. Geef hem een sleutel van de netwerk-locaties.

[StarWing]

Thx voor de antwoorden.

We hebben reeds een aantal 1810's draaien zonder problemen, vandaar de keuze.

Het netwerk daar wordt vanuit de hoofdlocatie gemonitored via nagios, ook worden de switches gemonitored via SNMP op de nagios.
Beide locaties worden verbonden met een vpn.
An sich heb ik daar wel een mannetje rondlopen dat instructies kan opvolgen, we doen het reeds een 10tal jaar zo, tot zover zonder grote problemen.

Wifi komt er zeker, 3vlans zijn hiervoor gereserveerd. (public, private, mgmnt)
Momenteel is het 1 grote LAN.
Aangezien ze daar intern gaan verhuizen is ervoor gekozen om de boel een beetje op te frissen en meer mogelijkheden/beveiliging te creeren.
De wifi wordt aangestuurd via de firewall, en is daardoor gemakkelijk te configgen, beheren en uit te breiden.
Zodoende is het enkel een poortje op een switch te configgen en de firewall te laten zoeken naar de AP.

Moest de VPN uitvallen, kan ik via een snat wel nog altijd rdp-en naar een server daar (en nee, die staat niet wagenwijd open, enkel vanuit specifieke IP's)

In de GUI van de 4208 noemt dit:

Code: Selecteer alles

This switch features automatic fault detection capability which can protect your network from beiiing brought down by problems such as network loops, defective cables, tranceivers and faulty nic's
En dan een dropdown met een aantal mogelijkheden
-never
-low sensitvity
-medium (default)
-high sensitivity (recommended)

Ik veronderstel dat bovenstaande doelt op de "loop protection"