Etiket arşivi: procurve

Fortigate Vlanlara İp Dağıtmak

vlan

Yukarıda ki gibi bir topolojimizin olduğunu varsayarsak FW’yi DHCP olarak configüre edip Vlanlarımıza ip dağıtmak için hem Core Swicth üzerinde hemde FW üzerinde aşağıdaki gibi ayar yapılması gerekmektedir.

Burada Fw ile Core sw arasında vlan 254 oluşturulmuş ve D20 portu vlan 254’e untag edilmiştir.
firewall

 

 

sistemde bulunan ve ip dağıtmak istediğimiz diğer tüm vlanlara D20 portu tag komutuyla taglanmalıdır.

vlan-10

 

 

 

Sw üzerinde ki ayarlar bittikten sonra Fw üzerinde ki ayarlara geçebiliriz.

interface

Fortigate üzerinde Network-Interfaces yolunda Create New-Interface denilir.

vlan_

1-İnterface Name: Buraya vlan için vereceğiniz bir isim girişi yapınız.
2-Type:buradan vlan seçiyoruz.
3-Interface:Vlanı fw’nin hangi portu için tanımladığımızı seçiyoruz.
4-Vlan ID: bu kısım hangi vlanı oluşturduğumuzu belirtmek için kullandığımız alandır.
5-Addresing Mode: Vlan’ın ip adresini nasıl alacağınız seçiyruz.
6-IP/Network Mask:Vlan FW bacağına atadığımız ip adresidir.
7-DHCP Server:Enable tikleyerek dhcp serverı aktifleştiriyoruz.
8-DHCP ip başlangıç ve bitiş adreslerini tanımlıyoruz.
9-Netmask:dhcpden atanan ip adreslerinin netmasklarını tanımlıyoruz.
10-Default Gateway:dhcpden atanan ip adreslerinin gateway adreslerini tanımlıyoruz.
11-Dns Server:dhcpden tanımlanan ip adreslerinin dns adreslerini tanımlıyoruz.

Advanced…alanından da

advenced

kiralama sürelerini ve mac-ip eşleştirmelerini yapabiliriz.Böylece bir vlan için yaptığımız ayarı diğer vlanlar içinde yaparak Fw mizi vlanlar için dhcp olarak ayarlamış olduk. Pc mizin ip ayarlarına baktığımızda Fw üzerindeki dhcpden ip aldığını görmüş oluruz.

dhcp_1

ProCurve Firmware Günceleme (ProCurve – Firmware Upgrade)

öncelikle bir pc’ye tftp server yazılımı kuruyoruz. (ben pumpkin. tftp server yazılımının gerekli ayarlarını yaptıktan sonra
http://h17007.www1.hp.com/us/en/support/converter/index.aspx adresinden swicth’lerimizin güncel firmware ‘nı indiriyoruz.İndirdiğimiz dosya sıkıştırılmış bir formattadır bu dosyayı açıp içerisinde ki swi uzantılı dosyayı tftp serverin download path dosyasına atıyoruz. Şimdi hazırlıklarımız tamam switch konsoluna geçebiliriz.

KenarSERVIS# sh flash
Image      Size(Bytes)  Date  Version
-----      ---------- -------- -------
Primary Image  : 3916020  05/16/10 R.11.54
Secondary Image : 3689315  01/25/08 R.11.07
Boot Rom Version: R.10.06
Current Boot  : Primary

sh flash komutunu verdiğimizde switchimizde yüklü olan versiyonları görebiliriz.

Biz hp web sitesinden son sürüm olarak R_11_72 indirdik bu sürümü secondary image alanına yükleyip cihazımızı buradan çalışır hale getirip sorun olup olmadığının testinden sonra primary güncel sürümü primary alanına kopyalayacağız. Yukarıda da görüldüğü gibi cihaz primary image alanından çalışıyor.

KenarSERVIS# copy tftp flash 10.56.90.11 R_11_72.swi secondary

komutunu veriyoruz ve gelen uyarıya evet dediğimizde pumpkin ekranında da uyarı gelecektir. bu uyarıyada grant access diyerek versiyon yüklemesinin bitmesini bekliyoruz. Yükleme bittikten sonra swicthimizin ekranında yüklenen versiyonun flasha yazıldığına dair “Validating and Writing System Software to FLASH…” bir mesaj gelecektir. yazma işleminden sonra config moduna düşülür.


KenarSERVIS# sh flash
Image      Size(Bytes)  Date  Version
-----      ---------- -------- -------
Primary Image  : 3916020  05/16/10 R.11.54
Secondary Image : 3934596  04/25/11 R.11.72
Boot Rom Version: R.10.06
Current Boot  : Primary

sh flash komutunu çalıştırdığımızda secondary flashda güncel sürümün yüklendiğini görürüz. Şimdi cihazın secondary flash alanında çalışır hale gelmesini sağlayalım.


KenarSERVIS# boot system flash secondary

gelen uyarıya yes deyip cihazın reboot etmesini sağlayalım..

reboot’tan sonra cihazımız secondary den çalışır hale gelecektir. yüklediğimiz imaj stabilse ve sorun yoksa

“# Copy flash flash primary” komutuyla secondary flashtaki imaj primary imaja kopyalanır. kopyalama sonrasında
olarak bu komut ile kaydedilir.
” # Boot system flash primary” komutuyla cihazın primary imajdan açılması sağlanır..

HP Procurve Switch – LLDP (Link Layer Discovery Protocol)

hangi hattın hangi porta bağlı olduğunu lldp kullanarak görüntüleyebiliriz.

CORE(config)# sh lldp info remote-device

 LLDP Remote Devices Information

 LocalPort | ChassisId         PortId PortDescr SysName
 --------- + ------------------------- ------ --------- ----------------------
 C12    | 00 23 47 18 26 a0     1   1     KenarPAZARLAMA
 C21    | 00 1f fe 61 15 40     27   27    KenarMOBILYA
 C23    | 00 1f 28 f0 87 40     27   27    KenarSERVIS
 C24    | 00 1f fe 61 67 c0     27   27    KenarMONDI
 D1    | 00 1f fe 4c af e0     1   1     KenarMUHASEBE
 D21    | 00 1f fe 62 15 40     27   27    KenarBELLONA
 D22    | 00 1f fe 62 a0 80     27   27    KenarISTIKBAL

yukarıda üzerinde bulunduğumuz cihazın c12 portundan KenarPAZARLAMA cihazının 1 nolu portuna bağlı olduğumuzu görmekteyiz.

procurvede mac adreslerinin portlarını görüntülemek

metro(eth-5)# sh int 5 komutunun çıktısı aşağıda ki gibidir.

Status and Counters - Port Counters for port 5            

 Name :
 MAC Address   : 01c2e-8e3f7b
 Link Status   : Up
 Totals (Since boot or last clear) :
  Bytes Rx    : 2823551950  Bytes Tx    : 3316976933
  Unicast Rx   : 14102413   Unicast Tx   : 18202739
  Bcast/Mcast Rx : 140      Bcast/Mcast Tx : 10605
 Errors (Since boot or last clear) :
  FCS Rx     : 0       Drops Tx    : 0
  Allignment Rx  : 0       Collisions Tx  : 0
  Runts Rx    : 0       Late Colln   : 0
  Giants Rx    : 0       Excess Colln  : 0
  Total Rx Errors : 0       Deferred Tx   : 0
 Others (Since boot or last clear) :
  Discard Rx   : 0
  Out Queue Len  : 0
  Unknown Protos : 0 

 Rates (5 minute weighted average) :
  Total Rx (bps) : 633400      Total Tx (bps) : 1016416
  Unicast Rx (Pkts/sec) : 56      Unicast Tx (Pkts/sec) : 53
  B/Mcast Rx (Pkts/sec) : 0       B/Mcast Tx (Pkts/sec) : 0
  Utilization Rx : 00.63 %    Utilization Tx : 01.01 %

metro(eth-5)# clear statistics ethernet 5 komutu interface 5 eternetinin tüm istatistiklerini sıfırlar.

metro (config) # sh mac komutu bize mac adreslerinin hangi porttan geldiğini döker.Status and Counters - Port Address Table

 MAC Address  Located on Port
 ------------- ---------------
 000180-2a03dc 1
 000244-a32d92 1
 000244-a538c2 1
 00030d-3962d4 1
 00090f-3070bc 1
 000acd-103bc9 8
 000c29-5509cd 1
 000c46-468362 24
 000c46-468379 23
 000c46-468381 1
 000c46-468395 1
 000c46-468545 1
 000c46-4689b4 1
 000c46-468a03 1
 000e7f-40c454 1
 001111-6fbc30 1
 001111-6fbc4e 1
 001279-80b63b 15

procurve ve cdp protokolü

bilindiği gibi  Cisco Discovery Protocol (CDP) networkteki sw ler hakkında bilgi almamızı sağlar. Protokolün detaylarıyla  ilgili internette epeyce döküman bulunmakta. ben procurve lerde nasıl kullanılıyor onunla ilgili bilgiler sunacağım.


CORE(config)# sh cdp komutunu verdiğimizde aşağıda kiçıktı gelecektir. Bu çıktıda port cdp protokolüne açık olup olmadığını gözlemleriz. Standart olarak tüm portlar da cdp açık gelir.

CORE(config)# sh cdp
 Global CDP information

 Enable CDP [Yes] : Yes (Receive Only)      

 Port CDP
 ---- --------
 ADP enabled
 AUP enabled
 BDP enabled
 BUP enabled
 C1  enabled
 C2  enabled
 C3  enabled
 C4  enabled
 C5  enabled
 C6  enabled
 C7  enabled
 C8  enabled
 C9  enabled
 C10 enabled
 C11 enabled
CORE(config)# no cdp enable c1  (-- c1 interfaceni cdp protokülünü iptal ediyoruz)
CORE(config)#
CORE(config)#
CORE(config)# sh cdp (portların cdp durumuna bakıyoruz.)
 Global CDP information

 Enable CDP [Yes] : Yes (Receive Only)      

 Port CDP
 ---- --------
 ADP enabled
 AUP enabled
 BDP enabled
 BUP enabled
 C1  disabled (cdp protokolü disable olmuş)
 C2  enabled
 C3  enabled
 C4  enabled
 C5  enabled
 C6  enabled
 C7  enabled
 C8  enabled

core(config)#cdp enable c1 komutuyla disable olan c1 portu tekrar enable hale getirilir. buraya kadar port bazında cdp enable etmeyi ve disable etmeyi gördük. imdi networkümüzde bulunan cihazlarla ilgili bilgileri toplayalım.

CORE(config)# sh cdp neighbors
 CDP neighbors information

 Port Device ID           | Platform           Capability
 ---- ----------------------------- + ---------------------------- -----------
 C7  00 1f fe 4c af e0       | ProCurve J9021A Switch 28... S
 C12 00 23 47 18 26 a0       | ProCurve J9021A Switch 28... S
 D21 00 1f fe 62 a0 80       | ProCurve J9087A Switch 26... S

sh cdp neighbors komutunu verdiğimiz de
c7 portunda 00 1f Device id siyle J9021a
c12 portunda 00 23 Device id siyle J9021a
d21 portunda 00 1f Device id siyle J9087a cihazının olduğunu öğreniyorum. Burada sunulan bilgiler kısıtlı durumda. daha teferruatlı bilgiler almak için
sh cdp neighbors details c12 komutunu çalıştırıyorum.
komutun çıktısı aşağıdadır. komut bize c12 portunda bulunan sw hakkında ayrıntılı döküm verir.

CORE(config)# sh cdp neighbors detail c12
 CDP neighbors information for port C12

 Port : C12 (--cihazın bağlı bulunduğu port)
 Device ID : 00 23 47 18 26 a0 (cihazın id nosu-mac)
 Address Type : IP
 Address   : 192.168.2.239 (cihazın ip adresi)
 Platform   : ProCurve J9021A Switch 2810-24G, revision N.11.06, ROM N... (-- cihazın model ve imaj sürümü)
 Capability  : Switch
 Device Port : 6 (cihazın 6.portuna bağlı olduğumuz)
 Version   : ProCurve J9021A Switch 2810-24G, revision N.11.06, ROM N...

yukarıdaki bilgileri verir.

procurve ve trunk

iki farklı swicth arasında iki veya daha fazla kablo bağlayıp bu kabloları tek bir hat gibi görmek mümkündür. Yani A swicth’iyle B swicthi arasında iki adet kablo bağlandığında ve portlar 1 Gbit se eğer 2 Gbit lik bir hattımız olmuş olur. Aşağıda procurve configurasyonu vardır.

edge(config) # trunk 1,2 trk1 (-|) 1,2 nolu portları trk1 adıyla trunk yap.

edge(config) # trunk 1,2 ? (-|) swicth üzerinde kaç adet trunk yapılabilir.

edge(config) # sh trunk(-|) var olan trunkları görüntüler.

procurve de consoldan portların durumunu görmek

komut satırına
metro(config)# sh int brief komutunu verdiğimiz de aşağıda ki gibi bir çıktı verecektir.

metro(eth-19)# sh int bmetro(eth-19)# sh int brief
 Status and Counters - Port Status

         | Intrusion              MDI  Flow Bcast
 Port Type   | Alert   Enabled Status Mode    Mode Ctrl Limit
 ----- --------- + --------- ------- ------ ---------- ----- ----- ------
 1   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 2   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 3   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 4   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 5   100/1000T | No    Yes   Up   100FDx   MDI  off  0
 6   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 7   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 8   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 9   100/1000T | No    Yes   Down  1000FDx  Auto off  0
 10  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 11  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 12  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 13  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 14  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 15  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 16  100/1000T | No    Yes   Down  1000FDx  Auto off  0
 17  100/1000T | No    Yes   Down  1000FDx  Auto off  0

buradan portların up,down durumlarını gözlemleyebiliriz. yukarıdaki çıktıda sadece 5.port up durumdadır.

metro(eth-19)# disable komutuyla 19. portu kapatırken

metro(eth-19)# enable komutu 19. portu açar.

Procurve ve rate limit

istenilen bir porta belirdeğimiz bant genişliğini vermektir.  komutlar aşağıda ki gibidir.

edge (config) # interface A5(-|) (A5 portuna giriyoruz.)

edge (a5) #rate-limit ?

komutunu verdiğimizde aşağıdaki çıktı gelecektir.

metro(eth-19)# rate-limit
 all          Set limits for all traffic.
 bcast         Set limits for broadcast traffic.
 icmp         Set limits for ICMP traffic only.
 ip          Apply the specified access control list to inbound
            packets on this INTERFACE list.
 mcast         Set limits for multicast traffic.


edge (a5) #rate-limit all in kbps 54 (-|) (all(tüm akan trafiğe) istenirse  port hızını 54 kbps olarak ayarlıyoruz.) Eğer istersek porttan akan trafiğin sadece ip,icmp,bcast,mcast bazında da kısıtlama yapılabilir. Biz burada akan tüm trafiğe kısıtlama uyguladığımızı belirtmek için all parametresini verdik.

edge (a5) #rate-limit all out kbps 54 (-|) aynı işlemi çıkış için de yapıyoruz.

daha ayrıntılı rate limitlerde uygulayabiliriz. Örneğin oluşturulmuş bir ACL üzerinde de rate-limit uygulayabiliriz.

extended bir ACL olan MISAFIRACL nin daha önce hazırlanmış olduğunu ve kuralında aşağıdaki gibi girildiğini varsayıyorum.

edge (MISAFIRACL) # permit tcp any any eq 80 ( tüm pcler http trafiğine çıksın)

edge (config) # rate-limit ip access-group in MISAFIRACL kbps 19

MISAFIRACL kuralına uyan kullanıcılar http trafiğine çıkarken 19 kbps ‘lık hat kullansınlar.