The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Вопросы по Chekpoint NGX R65"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Вопросы по Chekpoint NGX R65"  
Сообщение от solegs email(ok) on 01-Сен-08, 16:33 
Здравствуйте!
Есть несколько вопросов по Chekpoint NGX R65.
1)Есть ли принципиальное отличие в функциях интерфейсов Internal и Lan1?
2)Можно ли настроить Чекпоинт так, чтобы на нём были адреса шлюзов по умолчанию для нескольких виланов? И на каком интерфейсе это делать лучше - на Internal или на Lan1?
3)Можно ли настроить Чекпоинт так, чтобы он пропускал только некоторые из виланов?
4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если можно, то как нужно настроить транк на С3750?

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Вопросы по Chekpoint NGX R65"  
Сообщение от Rimon email on 01-Сен-08, 18:58 
>[оверквотинг удален]
>Есть несколько вопросов по Chekpoint NGX R65.
>1)Есть ли принципиальное отличие в функциях интерфейсов Internal и Lan1?
>2)Можно ли настроить Чекпоинт так, чтобы на нём были адреса шлюзов по
>умолчанию для нескольких виланов? И на каком интерфейсе это делать лучше
>- на Internal или на Lan1?
>3)Можно ли настроить Чекпоинт так, чтобы он пропускал только некоторые из виланов?
>
>4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт
>прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если
>можно, то как нужно настроить транк на С3750?

Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального отличия нет между "ногами".

У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё один чтоб разделить, но ответ на твой вопрос - да, запросто

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Вопросы по Chekpoint NGX R65"  
Сообщение от rimon email(ok) on 02-Сен-08, 11:25 
>[оверквотинг удален]
>>4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт
>>прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если
>>можно, то как нужно настроить транк на С3750?
>
>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального
>отличия нет между "ногами".
>
>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё
>один чтоб разделить, но ответ на твой вопрос - да, запросто
>

Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60 и будет тебе счастье

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопросы по Chekpoint NGX R65"  
Сообщение от solegs email(ok) on 02-Сен-08, 12:08 

>[оверквотинг удален]
>>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального
>>отличия нет между "ногами".
>>
>>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё
>>один чтоб разделить, но ответ на твой вопрос - да, запросто
>>
>
>Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не
>нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60
>и будет тебе счастье

Спасибо, уже ободряюще! Видимо, что-то я делаю не так... Просто никакой документации по чеку нет... А от 3750 отказаться не могём - таковы исходные условия. Вообще-то, в сети есть еще несколько 2960, все они соединены со стеком на 3750, все они в 80 вилане и на всех них прописа дефолт-гейтвей 172.22.80.1 - адрес интерфейса вилан80 на 3750.
Если я правильно понял, для начала достаточно на чекпоинте создать виланы на одном из интерфейсов, присвоить им адреса, используемые как адреса дефолт-гейтвеев, соединить этот интерфейс с портом на каталисте, на котором поднят транк - и всё заработает? Этого вроде бы должно быть достаточно?
Но вот тут и начинаются проблемы.

Нстройка 3750 такая (дефолт-гейтвей на нём):

interface GigabitEthernet2/0/13
description *** CHECKPOINT ***
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 20,80
switchport mode trunk
!
interface Vlan80
ip address 172.22.80.1 255.255.255.0    
no ip redirects

При этом, ессно, все 2960 пингуются и с 3750, и с моего компа (вилан 20)
E:\>ping 172.22.80.10 -t
Обмен пакетами с 172.22.80.10 по 32 байт:
Ответ от 172.22.80.10: число байт=32 время<1мс TTL=254

E:\>ping 172.22.80.1 -t
Обмен пакетами с 172.22.80.1 по 32 байт:
Ответ от 172.22.80.1: число байт=32 время<1мс TTL=255


Если переношу адрес дефолт гейтвея на чекпоинт (на Lan1.80), а на 3750 , то на интерфейсе Vlan80 3750 приходится оставлять какой-нить айпи из 80 подсетки, например 80.254, иначе - "сеть недоступна". Но при этом, если прителнетиться к 2960 и из него попробовать попинговать других, то
C2960-sim-11>ping 172.22.80.254     --- пингуем 3750 с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms

C2960-sim-11>ping 172.22.80.1       --- пингуем чекпоинт с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.1, timeout is 2 seconds:

... и вся 80-я подсеть, кроме 80.254 и 80.1 как бы уходит в глубокий ступор и не доступна из других виланов (с моего компа). Но пингуется с 3750!
C3750-SIM#ping 172.22.80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms

Но опять таки при этом если попытаться телнетом зайти на 2960 с 3750, то виснет на аутентификации, как только ввожу пароль.

Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на чуток.

Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня на свичах, раз они не могут работать с чеком, как с дефолт-гейтвеем...

А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом, на Ваших свичах?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Вопросы по Chekpoint NGX R65"  
Сообщение от rimon email(ok) on 06-Сен-08, 09:27 
>[оверквотинг удален]
>
>Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на
>чуток.
>
>Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня
>на свичах, раз они не могут работать с чеком, как с
>дефолт-гейтвеем...
>
>А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом,
>на Ваших свичах?

Я не слишком вдавался, но то, что ты написал, лишнее IMHO. Ты прописываешь VLAN на Чекпойнте. Тебе вообще не нужен свич 3-го уровня. Опускаешь транк и всё. В точ, что ты написал, небольшая каша.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру