forum.opennet.ru - "Switch для FW" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Switch для FW"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Switch для FW"
Сообщение от rimon (ok) on 28-Ноя-06, 22:26
Привет всем. У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких коробочек, хочу поставить свич L2 на 48, разбить на виланы. Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на вилан на таком свиче (ни какого транка там нет).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Switch для FW, Nailer, 23:07 , 28-Ноя-06, (1)

Switch для FW, rimon, 23:37 , 28-Ноя-06, (2)

Switch для FW, vorch, 11:18 , 29-Ноя-06, (3)

Switch для FW, rimon, 12:48 , 29-Ноя-06, (5)

Switch для FW, Nailer, 12:41 , 29-Ноя-06, (4)

Switch для FW, Николай, 18:10 , 29-Ноя-06, (6)

Switch для FW, rimon, 22:43 , 29-Ноя-06, (7)

Switch для FW, Nailer, 22:51 , 29-Ноя-06, (8)

Switch для FW, rimon, 07:39 , 30-Ноя-06, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "Switch для FW"

Сообщение от Nailer (??) on 28-Ноя-06, 23:07

>Привет всем.
>У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде
>которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких
>коробочек, хочу поставить свич L2 на 48, разбить на виланы.
>Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на
>вилан на таком свиче (ни какого транка там нет).

Теоретически это возможно.
Если безопасность действительно важна, оставьте все как есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Switch для FW"

Сообщение от rimon (ok) on 28-Ноя-06, 23:37

>Теоретически это возможно.
>Если безопасность действительно важна, оставьте все как есть.
Спасибо.
А где можно про это почитать как с вилана на вилан на свиче 2950, я не нашёл?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Switch для FW"

Сообщение от vorch on 29-Ноя-06, 11:18

Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня (типа catalyst 2950) нет и быть не может. Для этого необходимо устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение вланов (например, через native vlan), но у Циски об этом рассказывается в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Switch для FW"

Сообщение от rimon (ok) on 29-Ноя-06, 12:48

>Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня
>(типа catalyst 2950) нет и быть не может. Для этого необходимо
>устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то
>типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки
>у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение
>вланов (например, через native vlan), но у Циски об этом рассказывается
>в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.
В том то и дело что мне не надо никакое взаимодействие.
to Nailer: TNX

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Switch для FW"

Сообщение от Nailer (??) on 29-Ноя-06, 12:41

>>Теоретически это возможно.
>>Если безопасность действительно важна, оставьте все как есть.
>
>Спасибо.
>А где можно про это почитать как с вилана на вилан на
>свиче 2950, я не нашёл?
Погуглите про vlan hopping..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Switch для FW"

Сообщение от Николай (??) on 29-Ноя-06, 18:10

Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Switch для FW"

Сообщение от rimon (ok) on 29-Ноя-06, 22:43

>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит Check Point Cluster на Splat.
А может какую новую модель, скажем 2960 иди 3560 с новым IOS? Может тогда этого прыганья с вилана на вилан можно избежать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Switch для FW"

Сообщение от Nailer (??) on 29-Ноя-06, 22:51

>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>
>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>Check Point Cluster на Splat.
>
>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>Может тогда этого прыганья с вилана на вилан можно избежать?

Вообще vlan hopping - это баг, но это не основная проблема.
Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления свитча можно будет перенастроить порты и получить доступ ко всему, что будет за файрволлом.
Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560, читайте гайды и внимательно следите за настройками.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Switch для FW"

Сообщение от rimon (ok) on 30-Ноя-06, 07:39

>>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
>>
>>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит
>>Check Point Cluster на Splat.
>>
>>А может какую новую модель, скажем 2960 иди 3560 с новым IOS?
>>Может тогда этого прыганья с вилана на вилан можно избежать?
>
>
>Вообще vlan hopping - это баг, но это не основная проблема.
>
>Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления
>свитча можно будет перенастроить порты и получить доступ ко всему, что
>будет за файрволлом.
>
>Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на
>одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560,
>читайте гайды и внимательно следите за настройками.
Спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Switch для FW"
Сообщение от Nailer (??) on 28-Ноя-06, 23:07
>Привет всем. >У меня стоит FW Check Point Cluster. 10 интерфейсов на каждом ноде >которые сходятся в маленькие хабы. Надоело ковыряться а этой кучей маленьких >коробочек, хочу поставить свич L2 на 48, разбить на виланы. >Вопрос такой - можно ли каким либо способом перепрыгнуть с вилана на >вилан на таком свиче (ни какого транка там нет). Теоретически это возможно. Если безопасность действительно важна, оставьте все как есть.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Switch для FW"
	Сообщение от rimon (ok) on 28-Ноя-06, 23:37
	>Теоретически это возможно. >Если безопасность действительно важна, оставьте все как есть. Спасибо. А где можно про это почитать как с вилана на вилан на свиче 2950, я не нашёл?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Switch для FW"
	Сообщение от vorch on 29-Ноя-06, 11:18
	Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня (типа catalyst 2950) нет и быть не может. Для этого необходимо устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение вланов (например, через native vlan), но у Циски об этом рассказывается в разделе траблшутинга :-) Т.е. так делать НЕ НАДО.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Switch для FW"
	Сообщение от rimon (ok) on 29-Ноя-06, 12:48
	>Никакой нормальной возможности организовать взаимодействие между вланами только посредством свитчей 2-го уровня >(типа catalyst 2950) нет и быть не может. Для этого необходимо >устройство 3-го уровня (маршрутизатор или L3 свитч типа 3550, либо что-то >типа L2+ свитча, которые позволяют маршрутизировать между вланами (есть такие железки >у 3com и D-Link)). Хотя на практике, конечно, можно организовать взаимопроникновение >вланов (например, через native vlan), но у Циски об этом рассказывается >в разделе траблшутинга :-) Т.е. так делать НЕ НАДО. В том то и дело что мне не надо никакое взаимодействие. to Nailer: TNX
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Switch для FW"
	Сообщение от Nailer (??) on 29-Ноя-06, 12:41
	>>Теоретически это возможно. >>Если безопасность действительно важна, оставьте все как есть. > >Спасибо. >А где можно про это почитать как с вилана на вилан на >свиче 2950, я не нашёл? Погуглите про vlan hopping..
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Switch для FW"
Сообщение от Николай (??) on 29-Ноя-06, 18:10
Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Switch для FW"
	Сообщение от rimon (ok) on 29-Ноя-06, 22:43
	>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит Check Point Cluster на Splat. А может какую новую модель, скажем 2960 иди 3560 с новым IOS? Может тогда этого прыганья с вилана на вилан можно избежать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Switch для FW"
	Сообщение от Nailer (??) on 29-Ноя-06, 22:51
	>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать > >Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит >Check Point Cluster на Splat. > >А может какую новую модель, скажем 2960 иди 3560 с новым IOS? >Может тогда этого прыганья с вилана на вилан можно избежать? Вообще vlan hopping - это баг, но это не основная проблема. Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления свитча можно будет перенастроить порты и получить доступ ко всему, что будет за файрволлом. Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560, читайте гайды и внимательно следите за настройками.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Switch для FW"
	Сообщение от rimon (ok) on 30-Ноя-06, 07:39
	>>>Хорошо а чем не вариант сделать транк switch<======>PC запаковать в транк нужные вланы а на PC сетевой поднять подинтерфейсы. Вот только незнаю Win понимает тегированый трафик или надо какую-то софтину устанавливать >> >>Нет. Здесь речь совсем о другом. Никаких РС, транков и Win. Стоит >>Check Point Cluster на Splat. >> >>А может какую новую модель, скажем 2960 иди 3560 с новым IOS? >>Может тогда этого прыганья с вилана на вилан можно избежать? > > >Вообще vlan hopping - это баг, но это не основная проблема. > >Есть еще misconfiguring (т.е. неправильная настройка). Кроме того, в случае компрометации управления >свитча можно будет перенастроить порты и получить доступ ко всему, что >будет за файрволлом. > >Если безопасность действительно важна, то никогда не смешивайте разные зоны безопасности на >одном устройстве. Если же безопасность особенная не нужна, то ставьте 3560, >читайте гайды и внимательно следите за настройками. Спасибо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]