URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12104
[ Назад ]

Исходное сообщение
"Switch для FW"

Отправлено rimon , 28-Ноя-06 22:26 
Привет всем.
У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких коробочек, хочу поставить свич L2 на 48, разбить на виланы.
Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на вилан на таком свиче (ни какого транка там нет).

Содержание

Сообщения в этом обсуждении
"Switch для FW"
Отправлено Nailer , 28-Ноя-06 23:07 
>Привет всем.
>У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде
>которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких
>коробочек, хочу поставить свич L2 на 48, разбить на виланы.
>Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на
>вилан на таком свиче (ни какого транка там нет).


Теоретически это возможно.
Если безопасность действительно важна, оставьте все как есть.


"Switch для FW"
Отправлено rimon , 28-Ноя-06 23:37 
>Теоретически это возможно.
>Если безопасность действительно важна, оставьте все как есть.

Спасибо.
А где можно про это почитать как с вилана на вилан на свиче 2950, я не нашёл?


"Switch для FW"
Отправлено vorch , 29-Ноя-06 11:18 
Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня (типа catalyst 2950) нет и быть не может. Для этого необходимо устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение вланов (например, через native vlan), но у Циски об этом рассказывается в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.

"Switch для FW"
Отправлено rimon , 29-Ноя-06 12:48 
>Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня
>(типа catalyst 2950) нет и быть не может. Для этого необходимо
>устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то
>типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки
>у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение
>вланов (например, через native vlan), но у Циски об этом рассказывается
>в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.

В том то и дело что мне не надо никакое взаимодействие.

to Nailer: TNX



"Switch для FW"
Отправлено Nailer , 29-Ноя-06 12:41 
>>Теоретически это возможно.
>>Если безопасность действительно важна, оставьте все как есть.
>
>Спасибо.
>А где можно про это почитать как с вилана на вилан на
>свиче 2950, я не нашёл?

Погуглите про vlan hopping..


"Switch для FW"
Отправлено Николай , 29-Ноя-06 18:10 
Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать

"Switch для FW"
Отправлено rimon , 29-Ноя-06 22:43 
>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать

Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит Check Point Cluster на Splat.

А может какую новую модель, скажем 2960 иди 3560 с новым IOS? Может тогда этого прыганья с вилана на вилан можно избежать?


"Switch для FW"
Отправлено Nailer , 29-Ноя-06 22:51 
>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>
>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>Check Point Cluster на Splat.
>
>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>Может тогда этого прыганья с вилана на вилан можно избежать?


Вообще vlan hopping - это баг, но это не основная проблема.

Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления свитча можно будет перенастроить порты и получить доступ ко всему, что будет за файрволлом.

Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560, читайте гайды и внимательно следите за настройками.


"Switch для FW"
Отправлено rimon , 30-Ноя-06 07:39 
>>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>>
>>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>>Check Point Cluster на Splat.
>>
>>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>>Может тогда этого прыганья с вилана на вилан можно избежать?
>
>
>Вообще vlan hopping - это баг, но это не основная проблема.
>
>Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления
>свитча можно будет перенастроить порты и получить доступ ко всему, что
>будет за файрволлом.
>
>Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на
>одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560,
>читайте гайды и внимательно следите за настройками.

Спасибо