Исходное сообщение
"Вопросы по Chekpoint NGX R65" Отправлено solegs, 02-Сен-08 12:08
>[оверквотинг удален] >>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального >>отличия нет между "ногами". >> >>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё >>один чтоб разделить, но ответ на твой вопрос - да, запросто >> > >Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не >нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60 >и будет тебе счастье Спасибо, уже ободряюще! Видимо, что-то я делаю не так... Просто никакой документации по чеку нет... А от 3750 отказаться не могём - таковы исходные условия. Вообще-то, в сети есть еще несколько 2960, все они соединены со стеком на 3750, все они в 80 вилане и на всех них прописа дефолт-гейтвей 172.22.80.1 - адрес интерфейса вилан80 на 3750. Если я правильно понял, для начала достаточно на чекпоинте создать виланы на одном из интерфейсов, присвоить им адреса, используемые как адреса дефолт-гейтвеев, соединить этот интерфейс с портом на каталисте, на котором поднят транк - и всё заработает? Этого вроде бы должно быть достаточно? Но вот тут и начинаются проблемы. Нстройка 3750 такая (дефолт-гейтвей на нём): interface GigabitEthernet2/0/13 description *** CHECKPOINT *** switchport trunk encapsulation dot1q switchport trunk allowed vlan 20,80 switchport mode trunk ! interface Vlan80 ip address 172.22.80.1 255.255.255.0     no ip redirects При этом, ессно, все 2960 пингуются и с 3750, и с моего компа (вилан 20) E:\>ping 172.22.80.10 -t Обмен пакетами с 172.22.80.10 по 32 байт: Ответ от 172.22.80.10: число байт=32 время<1мс TTL=254 E:\>ping 172.22.80.1 -t Обмен пакетами с 172.22.80.1 по 32 байт: Ответ от 172.22.80.1: число байт=32 время<1мс TTL=255 Если переношу адрес дефолт гейтвея на чекпоинт (на Lan1.80), а на 3750 , то на интерфейсе Vlan80 3750 приходится оставлять какой-нить айпи из 80 подсетки, например 80.254, иначе - "сеть недоступна". Но при этом, если прителнетиться к 2960 и из него попробовать попинговать других, то C2960-sim-11>ping 172.22.80.254     --- пингуем 3750 с 80.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.80.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms C2960-sim-11>ping 172.22.80.1       --- пингуем чекпоинт с 80.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.80.1, timeout is 2 seconds: ... и вся 80-я подсеть, кроме 80.254 и 80.1 как бы уходит в глубокий ступор и не доступна из других виланов (с моего компа). Но пингуется с 3750! C3750-SIM#ping 172.22.80.10 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.22.80.10, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms Но опять таки при этом если попытаться телнетом зайти на 2960 с 3750, то виснет на аутентификации, как только ввожу пароль. Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на чуток. Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня на свичах, раз они не могут работать с чеком, как с дефолт-гейтвеем... А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом, на Ваших свичах?