מספר שאלות לגבי סוויץ מנוהל

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Popcorn110 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 154
הצטרף: אוגוסט 2015
שם מלא: יוסי
נתן תודות: 29 פעמים
קיבל תודות: 0

נושא שלא נקרא #16 

@ag43
·
תודה על ההסבר
אבל לא הבנתי
מה ההבדל בין סגמנט לvlan?

ומה הכוונה להדיר את הרשת הקיימת?
היא מוגדרת ככה?
מה FW יוצאים 3 vlan (גם למנהלים)
רק שלבניין הזה היה צורך רק בקו אחד עד עכשיו

השאלה בהגדרה
איך אני מגדיר בסוויץ החדש?
והאם צריך להגדיר שם vlan מחדש? או שהוא מקבל מהFW ?

תודה רבה

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #17 

דוגמאות לפי המצב אצלך:

שתי רשתות אחת בטווח 192.168.1.0/24 והשניה 192.168.2.0/24.
המשתמשים בשתי הרשתות לא יראו אחד את השני גם אם יחוברו לאותו סוויטצ' כי הם בסגמנטים שונים.
ברגע שאחד המשתמשים יתן לעצמו כתובת בטווח הסגמנט השני הוא יוכל לגשת לרשת הנ"ל.

VLAN (TRUNK)- מתנהג כמו רשת פיזית שונה (2 כבלים שונים בדוגמא שהבאת) כך שרק לפורטים שמוגדרים פיזית (והסוויטצ' המחוברים אליהם וכו') תהיה גישה לVLAN הנ"ל.

שים לב שלא נכנסתי כאן לפירוט מהו VLAN אלא על ההבדל לצרכים שלך.

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #18 

Popcorn110 כתב:@sys_admin

שוב תודה רבה על העזרה וההסבר

בסוף קניתי את הנתב שהצעתי כאן (8 פורטים), לבנתיים נלמד עליו ונראה אולי הוא יעזור
אם עדיין יהיו תקלות המעסיק יחליט אם עדיך לו להעביר כבל חודש, או לקנות נתב ב4000 ש"ח
ואני ביום ראשון אחבר אותו לרשת

רק כדי שאבין איך לעשות את זה

מהFW אני מגדיר שאחד הפורטים יעביר את שני ה vlan (truck)
ובנתב השני, אני מגדיר את אחד הפורטים ככניסה של vlan
ואז מגדיר את ה ה vlan תואם להגדרה של ה FW

השאלה שלי היא:
1) ההסבר נכון?
2) איך אני מגדיר בנתב השני את הכניסה? (אני יודע שכל נתב יש דרך אחרת, אבל מה אני צריך לחפש?)
3) את ה vlan אני צריך להגדיר מחדש או שכשהוא יקבל את הכניסה הוא יזהה את שני הvlan, ואני אצריך להחליט לאיזה פורט להוציא איזה vlan שאני רוצה?


תודה רבה
...
·

לא מובן מה הוא הנתב השני. עד כה, הייה נתב אחד ( checkpoint ) , מתג אחד לא מנוהל ומתג מנוהל של 8 פורטים שרצית להוסיף.
בכל מקרה, ב VLAN TRUNK אתה צריך להגדיר את כל ה VLANS הנדרשים משני הקצוות של TRUNK , אם אתה מגדיר אותו בצורה ידנית. אם אתה מגדיר אותו בעזרת פרוטוקול לניהול אותטומטי של VLAN TRUNKS , כמו למשל בעזרת VTP, אז שם זה מופץ אוטומטית למתג שמוגדר כלקוח של VLAN TRUNK. במקרה שלך, אם מדובר על מתג בודד, מספיק גם להגדיר ידני, במיחוד ש checkpoint גם לא תומך בצורה היגיונית לא ב VTP ולא בשום פרוטוקול דומה אחר, כמו GARP למשל. מעבר לזה את ההגדרות ממתג כבר הסברתי מקודם.

Popcorn110 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 154
הצטרף: אוגוסט 2015
שם מלא: יוסי
נתן תודות: 29 פעמים
קיבל תודות: 0

נושא שלא נקרא #19 

@sys_admin
·
עדיין זה מה שמדובר
יש לי את הנתב הראשי (checkpoint) ואני רוצה לחבר אליו את המתג המנוהל (8 פורטים)
השאלה איך אני מגדיר את זה

הבנתי שבנתב (checkpoint) אני צריך להגדיר שאחד הפורטים (לדוגמא 2) יוציא דרכו שני vlan
עכשיו במתג המנוהל - איך הולך ההגדרה של הפורט המקבל (לדוגמא 1) - אני צריך להגדיר לו שהוא מקבל שתי vlan
ואחר כך מה ההגדרה לשתי הפורטים השונים שיוצאים את הvlan (פורט 4,5)

אם ההגדרה היא אוטומטית, אז זה מובן יותר - פשוט מקבל 2 vlan , ואני מגדיר כרגיל את שתי הפורטים (4,5) לפי vlan
אם אני צריך להגדיר במתג מחדש שני vlan חדשים שמתאימים לvlan בנתב(checkpoint),
אז יוצא שהמתג מחלק כתובות חדשים, ואיך אדאג שהוא לא יתנגש עם הכתובות שהנתב מחלק?

הרי בגדול הDHCP יושב על הנתב הראשי,
ואם אגדיר מחדש במתג, יצא שגם הוא יחלק כתובות

אני צודק, או שעשיתי קצת סלט?


תודה רבה

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #20 

@Popcorn110
·
זה שיש את הנתב הראשי , שהוא (checkpoint), זה כבר אנו יודעים. זה שאתה רוצה לחבר מתג מנוהל גם את זה כבר אנו יודעים. אבל על הנתב השני שאתה מזכיר כרגע אנו עוד לא יודעים ולא יודעים היכן ברשת שלך אתה רוצה לחבר אותו ולאיזה משימה.
אם כרגע נעזוב בצד את הנתב החדש שאנו לא יודעים למה הוא משמש ונתמקד רק בנתב (checkpoint) ובמתג החדש, אז נשארת תצורה כפי שכבר הסברתי אותה בפוסט הראשון. והיא שאתה מגדיר VLAN Trunk סטטי וידני בין שני המכשירים אלה, למשל כפי שכתבת, בין פורט 2 של (checkpoint) ולבין פורט 1 למשל של המתג. TRUNK זה יכלול את כל ה VLANS שאתה רוצה להעביר ל Access Ports של המתג החדש ( שהם למשל VLAN3 ו VLAN4 ) ויכלול כמובן את Management VLAN , למשל את VLAN2 , כי אתה גם צריך את אפשרות לניהול המתג החדש שלך. עד כה הכל פשוט. אחרי זה נשאר רק להגדיר במתג החדש את ה Access Ports , למשל כפי שרצית את (פורט 4,5) ולשייך אותם ל VLAN המתאים להם. למשל את פורט 4 לשייך ל VLAN3 ואת פורט 5 ל VLAN4. זה כל הסיפור.

ונחדד את זה עוד הפעם ההגדרה שביצענו היא ידנית ולא אוטומטית, כי כפי שכבר כתבתי, checkpoint לא תומך צורה היגיונית בשום פרוטוקול של הגדרה אוטומטית של VLAN Trunk וגם רוב הסיכויים שאין לך צורך בהגדרות אוטומטיות אלה.
ולא יוצא שמתג מחלק כתובות, כי לא הגדרנו את המתג עם אפשרויות של L3, שרק כך הוא הייה יכול לחלק כתובות וגם זה רק בעזרת שרת DHCP חיצוני.
ובצורה שהוא מוגדר אין לך גם היכן להגדיר את זה במתג. כך שבאמת עשית הרבה סלט.
וכמובו שגם לא לשכוח להגדיר את הדברים המינימליים שכבר הסברתי מקודם, שהם loop protection ו dhcp snooping . ומובן גם את ממשק הניהול של המתג, כולל הכתובת שלו ואת ה Management VLAN .

ועד כה זה החזרה מחדש של היסודות הכרת המחשב שאותם כבר הסברתי בתגובה הראשונה.

Popcorn110 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 154
הצטרף: אוגוסט 2015
שם מלא: יוסי
נתן תודות: 29 פעמים
קיבל תודות: 0

נושא שלא נקרא #21 

@sys_admin
·

מתברר שFW לא יודע לנתב vlan לפורט שונה (אפשר לנתב vlan לפורט מסויים אי אפשר לשני פורטים שונים את אותו ה vlan )
אז אחרי כל ההתלטות, הסוויץ המנוהל יהפוך להיות סוויץ רגיל
או עד שנחליט לשים סוויץ מנוהל גדול על יד ה FW

תודה רבה על העזרה

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #22 

Popcorn110 כתב:@sys_admin
·

מתברר שFW לא יודע לנתב vlan לפורט שונה (אפשר לנתב vlan לפורט מסויים אי אפשר לשני פורטים שונים את אותו ה vlan )
אז אחרי כל ההתלטות, הסוויץ המנוהל יהפוך להיות סוויץ רגיל
או עד שנחליט לשים סוויץ מנוהל גדול על יד ה FW

תודה רבה על העזרה
...
·
טוב, נתחיל את הכל עוד הפעם מהתחלה. למרות ש checkpoint זו סבונייה מצ'וקמקת, אבל אפילו הוא יודע גם לנתב VLAN לפורט שונה וכמובן שאפשר לנתב את VLAN לפורט מסויים וגם לשניים ( או יותר ) פורטים שונים וממש את אותו ה VLAN לנתב לכולם. זה מכונה בשם inter vlan routing . גם אפשר למתג את אותו ה VLAN לכמה ממשקי רשת שונים בו. זה מכונה Bridging .

אבל!!! זה כלל לא מה שאתה צריך ולא את זה בקשת מההתחלה.
מה שאתה כן צריך, זה את היכולת של VLAN Trunking , ואפילו את זה הסבונייה זו מסוגלת לבצע, כי מדובר גם על דבר הכי בסיסי בציוד רשת ביתי פשוט. ואחרי שכבר נתתי בשירשור זה מספר פעמים את אותו ההסבר איך לבצע את זה, אני גם אצרף הפעם קישור שמסביר בפשטות את הפעולות בסיסיות אלו:
https://supportcenter.checkpoint.com/su ... d=sk106348

וגם אצרף את התמונות הרלוונטיות עם הדגשות באדום.

Popcorn110 (פותח השרשור)
סמל אישי של משתמש
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 154
הצטרף: אוגוסט 2015
שם מלא: יוסי
נתן תודות: 29 פעמים
קיבל תודות: 0

נושא שלא נקרא #23 

@sys_admin
·
שוב תודה רבה על ההסבר המפורט

אסביר שוב מההתחלה.
יש לי checkpoint שמנוהל על ידי בזק (750)
מאחד הפורטים של הcheckpoint יוצא cat7 לבניין מסויים
בבניין הזה אני צריך חיבור פרטי בשבילו + חיבור נוסף שיהיה קשור לבניין הראשון.
הבנתי שבשביל לעשות את זה אני צריך VLAN Trunking ועליו יעברו שני vlan Aונים vlan10 ו vlan20
vlan10 - מתאים לבניין א' (איפה שנמצא לרשת הכללית)
vlan 20 - מתאים לבניין ב' (רשת פרטית בשבילו)

עכשיו בשביל להגדיר VLAN Trunking - אני מבין שצריך להגדיר vlan ברשת - מה שכרגע לא קיים בכלל ברשת שלי.

דיברתי עם בזק (הם מגדירים לי את ה CHECKPOINT) התגובה שאמרו לי היא
אם אני צריך להגדיר vlan בFW - אני יכול אבל הבעיה היא שאי אפשר להגדיר vlan מסויים לשני פורטים שונים

אפשר להגדיר שני vlan שיצאו דרך אותו פורט (לדוגמא vlan10 vlan20)
ואז לבצע VLAN Trunking
אבל אם הגדרתי שמפורט 2 יצא vlan 10 vlan 20
אני לא יוכל להוציא מפורט 3 את vlan10

לטענתם - ה FW לא אמור לעשות את זה, ובשביל לעשות את זה צריך עוד סוויץ מנוהל שנמצא ליד הFW

אשמח לדעת אם זה לא נכון,
או אם ידוע לך על FW שכן יודעים לעשות את זה
כי זה תוספת גבוהה במחיר בשביל להוסיף עוד סוויץ מנוהל רק בשביל לא להעביר כבל נוסף
(במקום VLAN Trunking פשוט יעבירו עוד cat7 לבניין השני)

תודה רבה!!!

sys_admin
חבר מביא חבר
חבר מביא חבר
הודעות: 3685
הצטרף: ינואר 2014
מיקום: גליל מערבי
נתן תודות: 9 פעמים
קיבל תודות: 718 פעמים

נושא שלא נקרא #24 

@Popcorn110
·

כפי שכבר כתבתי מקודם, בשביל שבחיבור פיזי אחד ( בפורט פיזי של FW ) יעברו מספר רשתות נפרדות נדרש להגדיר VLAN TRUNK על ממשק זה, ה VLANs האלה יהיו ממשקי משנה ( SubInterfaces ) . בשביל שאחד ( או כמה מהם ) יהיו משותפים עם פורט פיזי נוסף ב FW ( בשביל שאחת הרשתות האלה תהיה מחוברת לעוד פורט פיזי נפרד ב FW ) נדרש להגדיר BRIDGE בין הממשק משנה הרצוי לבין ממשק פיזי נוסף שרוצים. כך אותה הרשת גם תעבור בתוך ה VLAN Trunk וגם תהייה מחוברת לעוד פורט פיזי נפרד ב FW. כל זה קיים כמובן גם בסבונייה זו ( Checkpoint 750 ) . זה דבר בסיסי ביותר גם בציוד רשת פשוט וכל מי שטיפה מכיר את תחום הרשתות יכול לבצע את ההגדרות אלה, גם דרך GUI וגם דרך ממשק CLI שלו. מיותר לציין שילדים מוקדנים מבזק שיודעים רק לבקש לכבות ולהדליק את הנתב מהחשמל לא יהיה מושג איך לבצע את זה, אחרת הם לא היו יושבים שם במוקד. זו פעולה שבשבילה נדרש כמה לחיצות של עכבר ולא יותר מכמה רגעים של זמן. צירפתי גם צילום מסך של ממשק רלוונטי של Checkpoint בהקשר זה.

ag43
חבר ותיק
חבר ותיק
הודעות: 2224
הצטרף: אוגוסט 2008
נתן תודות: 49 פעמים
קיבל תודות: 206 פעמים

נושא שלא נקרא #25 

^ מה שהוא אמר. אם אתה חושש להסתבך (או שבזק לא מאפשרים לך לנהל את הציוד שלך) פשוט תדרוש מישהו ברמה גבוהה יותר.

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”