Привет всем.
У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких коробочек, хочу поставить свич L2 на 48, разбить на виланы.
Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на вилан на таком свиче (ни какого транка там нет).
>Привет всем.
>У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде
>которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких
>коробочек, хочу поставить свич L2 на 48, разбить на виланы.
>Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на
>вилан на таком свиче (ни какого транка там нет).
Теоретически это возможно.
Если безопасность действительно важна, оставьте все как есть.
>Теоретически это возможно.
>Если безопасность действительно важна, оставьте все как есть.Спасибо.
А где можно про это почитать как с вилана на вилан на свиче 2950, я не нашёл?
Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня (типа catalyst 2950) нет и быть не может. Для этого необходимо устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение вланов (например, через native vlan), но у Циски об этом рассказывается в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.
>Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня
>(типа catalyst 2950) нет и быть не может. Для этого необходимо
>устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то
>типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки
>у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение
>вланов (например, через native vlan), но у Циски об этом рассказывается
>в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.В том то и дело что мне не надо никакое взаимодействие.
to Nailer: TNX
>>Теоретически это возможно.
>>Если безопасность действительно важна, оставьте все как есть.
>
>Спасибо.
>А где можно про это почитать как с вилана на вилан на
>свиче 2950, я не нашёл?Погуглите про vlan hopping..
Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливатьНет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит Check Point Cluster на Splat.
А может какую новую модель, скажем 2960 иди 3560 с новым IOS? Может тогда этого прыганья с вилана на вилан можно избежать?
>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>
>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>Check Point Cluster на Splat.
>
>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>Может тогда этого прыганья с вилана на вилан можно избежать?
Вообще vlan hopping - это баг, но это не основная проблема.Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления свитча можно будет перенастроить порты и получить доступ ко всему, что будет за файрволлом.
Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560, читайте гайды и внимательно следите за настройками.
>>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>>
>>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>>Check Point Cluster на Splat.
>>
>>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>>Может тогда этого прыганья с вилана на вилан можно избежать?
>
>
>Вообще vlan hopping - это баг, но это не основная проблема.
>
>Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления
>свитча можно будет перенастроить порты и получить доступ ко всему, что
>будет за файрволлом.
>
>Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на
>одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560,
>читайте гайды и внимательно следите за настройками.Спасибо