>[оверквотинг удален]
>>Checkpoint настолько гибкая система, что крутить ты можешь как душе угодно, принципиального
>>отличия нет между "ногами".
>>
>>У меня стоит два каталиста, всё через виланы, 10 ног, собираюсь ещё
>>один чтоб разделить, но ответ на твой вопрос - да, запросто
>>
>
>Ещё хотел бы добавить. что 3750 как свич L3 тебе наыиг не
>нужен. FW CheckPoint сам прекрасно делает виланы. Поставь 2950 или 60
>и будет тебе счастье Спасибо, уже ободряюще! Видимо, что-то я делаю не так... Просто никакой документации по чеку нет... А от 3750 отказаться не могём - таковы исходные условия. Вообще-то, в сети есть еще несколько 2960, все они соединены со стеком на 3750, все они в 80 вилане и на всех них прописа дефолт-гейтвей 172.22.80.1 - адрес интерфейса вилан80 на 3750.
Если я правильно понял, для начала достаточно на чекпоинте создать виланы на одном из интерфейсов, присвоить им адреса, используемые как адреса дефолт-гейтвеев, соединить этот интерфейс с портом на каталисте, на котором поднят транк - и всё заработает? Этого вроде бы должно быть достаточно?
Но вот тут и начинаются проблемы.
Нстройка 3750 такая (дефолт-гейтвей на нём):
interface GigabitEthernet2/0/13
description *** CHECKPOINT ***
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 20,80
switchport mode trunk
!
interface Vlan80
ip address 172.22.80.1 255.255.255.0
no ip redirects
При этом, ессно, все 2960 пингуются и с 3750, и с моего компа (вилан 20)
E:\>ping 172.22.80.10 -t
Обмен пакетами с 172.22.80.10 по 32 байт:
Ответ от 172.22.80.10: число байт=32 время<1мс TTL=254
E:\>ping 172.22.80.1 -t
Обмен пакетами с 172.22.80.1 по 32 байт:
Ответ от 172.22.80.1: число байт=32 время<1мс TTL=255
Если переношу адрес дефолт гейтвея на чекпоинт (на Lan1.80), а на 3750 , то на интерфейсе Vlan80 3750 приходится оставлять какой-нить айпи из 80 подсетки, например 80.254, иначе - "сеть недоступна". Но при этом, если прителнетиться к 2960 и из него попробовать попинговать других, то
C2960-sim-11>ping 172.22.80.254 --- пингуем 3750 с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/9 ms
C2960-sim-11>ping 172.22.80.1 --- пингуем чекпоинт с 80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.1, timeout is 2 seconds:
... и вся 80-я подсеть, кроме 80.254 и 80.1 как бы уходит в глубокий ступор и не доступна из других виланов (с моего компа). Но пингуется с 3750!
C3750-SIM#ping 172.22.80.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.22.80.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms
Но опять таки при этом если попытаться телнетом зайти на 2960 с 3750, то виснет на аутентификации, как только ввожу пароль.
Лечение одно - вернуть на 3750 адрес 80.1 (дефолт-гейтвей) хотя бы на чуток.
Если на чекпоинте ничего донастраивать не надо, то, видимо, траблы у меня на свичах, раз они не могут работать с чеком, как с дефолт-гейтвеем...
А не могли бы Вы описать, как настроены порты, соединённые с чекпоинтом, на Ваших свичах?
Вариант для распечатки
Информационная безопасность (Public)
(ok) on 01-Сен-08, 16:33 
