Здравствуйте!
Есть несколько вопросов по Chekpoint NGX R65.
1)Есть ли принципиальное отличие в функциях интерфейсов Internal и Lan1?
2)Можно ли настроить Чекпоинт так, чтобы на нём были адреса шлюзов по умолчанию для нескольких виланов? И на каком интерфейсе это делать лучше - на Internal или на Lan1?
3)Можно ли настроить Чекпоинт так, чтобы он пропускал только некоторые из виланов?
4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если можно, то как нужно настроить транк на С3750?
>[оверквотинг удален]
>Есть несколько вопросов по Chekpoint NGX R65.
>1)Есть ли принципиальное отличие в функциях интерфейсов Internal и Lan1?
>2)Можно ли настроить Чекпоинт так, чтобы на нём были адреса шлюзов по
>умолчанию для нескольких виланов? И на каком интерфейсе это делать лучше
>- на Internal или на Lan1?
>3)Можно ли настроить Чекпоинт так, чтобы он пропускал только некоторые из виланов?
>
>4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт
>прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если
>можно, то как нужно настроить транк на С3750?Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального отличия нет между "ногами".
У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё один чтоб разделить, но ответ на твой вопрос - да, запросто
>[оверквотинг удален]
>>4)Раз нужно через Чекпоинт пропускать несколько виланов, то можно ли подключить Чекпоинт
>>прямо к Каталисту С3750 или надо между ними ставить маршрутизатор? Если
>>можно, то как нужно настроить транк на С3750?
>
>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального
>отличия нет между "ногами".
>
>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё
>один чтоб разделить, но ответ на твой вопрос - да, запросто
>Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60 и будет тебе счастье
>[оверквотинг удален]
>>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального
>>отличия нет между "ногами".
>>
>>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё
>>один чтоб разделить, но ответ на твой вопрос - да, запросто
>>
>
>Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не
>нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60
>и будет тебе счастьеСпасибо, уже ободряюще! Видимо, что-то я делаю не так... Просто никакой документации по чеку нет... А от 3750 отказаться не могём - таковы исходные условия. Вообще-то, в сети есть еще несколько 2960, все они соединены со стеком на 3750, все они в 80 вилане и на всех них прописа дефолт-гейтвей 172.22.80.1 - адрес интерфейса вилан80 на 3750.
Если я правильно понял, для начала достаточно на чекпоинте создать виланы на одном из интерфейсов, присвоить им адреса, используемые как адреса дефолт-гейтвеев, соединить этот интерфейс с портом на каталисте, на котором поднят транк - и всё заработает? Этого вроде бы должно быть достаточно?
Но вот тут и начинаются проблемы.Нстройка 3750 такая (дефолт-гейтвей на нём):
interface GigabitEthernet2/0/13
description *** CHECKPOINT ***
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 20,80
switchport mode trunk
!
interface Vlan80
ip address 172.22.80.1 255.255.255.0
no ip redirectsПри этом, ессно, все 2960 пингуются и с 3750, и с моего компа (вилан 20)
E:\>ping 172.22.80.10 -t
Обмен пакетами с 172.22.80.10 по 32 байт:
Ответ от 172.22.80.10: число байт=32 время<1мс TTL=254E:\>ping 172.22.80.1 -t
Обмен пакетами с 172.22.80.1 по 32 байт:
Ответ от 172.22.80.1: число байт=32 время<1мс TTL=255
Если переношу адрес дефолт гейтвея на чекпоинт (на Lan1.80), а на 3750 , то на интерфейсе Vlan80 3750 приходится оставлять какой-нить айпи из 80 подсетки, например 80.254, иначе - "сеть недоступна". Но при этом, если прителнетиться к 2960 и из него попробовать попинговать других, то
C2960-sim-11>ping 172.22.80.254 --- пингуем 3750 с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 msC2960-sim-11>ping 172.22.80.1 --- пингуем чекпоинт с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.1, timeout is 2 seconds:... и вся 80-я подсеть, кроме 80.254 и 80.1 как бы уходит в глубокий ступор и не доступна из других виланов (с моего компа). Но пингуется с 3750!
C3750-SIM#ping 172.22.80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 msНо опять таки при этом если попытаться телнетом зайти на 2960 с 3750, то виснет на аутентификации, как только ввожу пароль.
Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на чуток.
Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня на свичах, раз они не могут работать с чеком, как с дефолт-гейтвеем...
А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом, на Ваших свичах?
>[оверквотинг удален]
>
>Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на
>чуток.
>
>Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня
>на свичах, раз они не могут работать с чеком, как с
>дефолт-гейтвеем...
>
>А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом,
>на Ваших свичах?Я не слишком вдавался, но то, что ты написал, лишнее IMHO. Ты прописываешь VLAN на Чекпойнте. Тебе вообще не нужен свич 3-го уровня. Опускаешь транк и всё. В точ, что ты написал, небольшая каша.