ترافیک اضافه ایجاد نمیکنه
Printable View
ترافیک اضافه ایجاد نمیکنه
فکر میکنم من هم اشتباه کردم
[QUOTE=mhdganji;254408]ممنون
اون پینگ رو چک میکنم بهتون میگم
ولی یادمه استادمون میگفت چون سوییچ برای جواب دادن پینگ ساخته نشده با پینگ مشکل داره و کنده
[/QUOTE]
از اون حرفها بود !! :D
[QUOTE=mhdganji;254408]
یه سوال دیگه
آیا میتونیم بگیم شروع کننده ارتباط (مثلا من که میخوام به پورت شیرینگ یه نفر وصل بشم) از یه پورت رندم استفاده میکنه که حتما از یه عددی (ظاهرا 1023) بزرگتره
[/QUOTE]
بله
[QUOTE=mhdganji;254408]
و یه سوال دیگه
با توجه به توضیحاتی که دادم و فکر میکنم تقریبا کامل بود میتونید اکسس لیست من رو تصحیح کنید (حالت بهینه اش رو پیشنهاد کنید)
[/QUOTE]
چون شما شبکتون رو خیلی بهتر میشناسید، مطمئناً بهتر از هر شخص دیگه ای میتونید ACL رو بنویسید. فقط کافیه اون پورتها/IP هایی که لازم دارید رو باز کنید.
جالبه که من از یک کلاینت توی یه وی لن کلاینت دیگه توی یه وی لن دیگه رو زیر 1 میلی ثانیه پینگ میکنم (که این مسیر طبیعتا از int vlan) میگذره
اما خود int vlan رو بعضی مواقع تا 40-50 هم میره
در ین مورد نظری ندارید. ؟ فکر کنم حرف اون بنده خدا یه جورایی بی ربط نباشه !!؟؟!!
یه ذره هم قرار بود در مورد دو طرفه بودن اکسس لیست (Stateful Firewall or Filtering) توضیحاتی ارایه بدید ! چیزی که ظاهرا توی فایروال ها هست و تو سوییچ پیش فرض وجود نداه و باید با یه دستوراتی نوشته بشه یا فعال بشه ! نمیدونم .. ؟؟
[QUOTE=mhdganji;254483]جالبه که من از یک کلاینت توی یه وی لن کلاینت دیگه توی یه وی لن دیگه رو زیر 1 میلی ثانیه پینگ میکنم (که این مسیر طبیعتا از int vlan) میگذره
اما خود int vlan رو بعضی مواقع تا 40-50 هم میره
در ین مورد نظری ندارید. ؟ فکر کنم حرف اون بنده خدا یه جورایی بی ربط نباشه !!؟؟!!
[/QUOTE]
اصلاً این حرف رو قبول ندارم. من خودم زیر 1ms میتونم ping کنم. int vlan بقیه توی چه زمانی ping میشن ؟ یه سیستم که مستقیماً به سوئیچ Core وصل هست چه ping time ای با int vlan خودش داره؟
[QUOTE=mhdganji;254483]
یه ذره هم قرار بود در مورد دو طرفه بودن اکسس لیست (Stateful Firewall or Filtering) توضیحاتی ارایه بدید ! چیزی که ظاهرا توی فایروال ها هست و تو سوییچ پیش فرض وجود نداه و باید با یه دستوراتی نوشته بشه یا فعال بشه ! نمیدونم .. ؟؟[/QUOTE]
CBAC رو مطالعه کنید.
[QUOTE]اصلاً این حرف رو قبول ندارم. من خودم زیر 1ms میتونم ping کنم. int vlan بقیه توی چه زمانی ping میشن ؟ یه سیستم که مستقیماً به سوئیچ Core وصل هست چه ping time ای با int vlan خودش داره؟[/QUOTE]
فرض کنید این کار رو کردم و درست شد
مشکل از کجا میتونه باشه
یه جاهایی خوندم Clear Arp Cache و این حرفها میتونه تاثیر داشته باشه ؟ نظر شما چیه ؟
راستی جناب afzalan ! یه سوال در مورد dhcp snooping گذاشتم (5-6) روز پیش
ممنون میشم اون رو هم یه التفاتی بفرمایید
سلام به همه دوستان خصوصا جناب afzalan
با یکی از دوستان صحبت کردم میخوام به صورت آزمایشی یه کاری انجام بدم. روتینگ و ارتباط بین وی لن های کلاینتها توی سوییچ core انجام بشه ولی ارتباطشون با سرورها از طریق فایروالی که بین این دو قرار می گیره ! اما در مورد طراحی این قضیه چند تا سوال دارم
ممنون
1- با این حساب اون اکسس لیستها تعطیله دیگه نه ؟ دسترسی به اتوماسیون فقط با پورت 80 و دسترسی به همکاران فقط با 1433 , ... ?? دیگه همه رو باید بیاریم روی فایروال ؟
2- توی طراحی قضیه و کانفیگ سوییچها گیج شدم (بی سوادیه و هزار دردسر)
الان ارتباط بین سرورها و سرورها با کلاینتها از طریق همون اینترفیس وی لن ها روی سوییچ Core برقراره. اما شما میگی ارتباط بین سرور و کلاینتها رو بده به فایروال. خوب چه باید کرد ؟
ببینید الان داستان اینجوریه
SwCore Config
ip routing
int vlan 150 (servers)
ip address 172.16.10.1 (Servers Gateway)
int vlan 100 (Mali)
ip address 192.168.35.1 (Mai Clients Gateway)
int vlan 101 (Edari)
ip address 192.168.38.1 (Edati Clients Gateway)
.
.
.
گیت وی سرورها رو چی بدم ؟ اینترفیس وی لن سرورها روی سوییچ Core رو پاک کنم ؟ پورت متصل از فایروال به سوییچ سرورها رو برابر با همون گیت وی قبلی سرورها بدم ؟ پورت متصل از فایروال به سوییچ Core رو چی بدم ؟ ....
ممنون میشم توضیحات بفرمایید
راستی باز هم اشاره کنم
این شبکه به یه شبکه داخلی دیگه وصل میشه اما به اینترنت نه
[QUOTE=mhdganji;254530]
1- با این حساب اون اکسس لیستها تعطیله دیگه نه ؟ دسترسی به اتوماسیون فقط با پورت 80 و دسترسی به همکاران فقط با 1433 , ... ?? دیگه همه رو باید بیاریم روی فایروال ؟
[/QUOTE]
قسمت سرورهاش بله، ولی برای جلوگیری از ارتباط بین VLAN ها هنوز نیاز به ACL دارید. ارتباط با سرورها رو بیارید روی فایروال.
در ضمن فکر نکنم نیازی به باز بودن پورت 1433 داشته باشید، چون توی اتوماسیون همکاران، کاربر فقط نیازه به پورت 80 دسترسی داشته باشه (فقط App server نیاز داره به DB وصل بشه که اونها هم همه توی یک سوئیچ هستند - البته اگر که دوتا سرور جدا برای اتوماسیون گذاشته باشید)
[QUOTE=mhdganji;254530]
الان ارتباط بین سرورها و سرورها با کلاینتها از طریق همون اینترفیس وی لن ها روی سوییچ Core برقراره. اما شما میگی ارتباط بین سرور و کلاینتها رو بده به فایروال. خوب چه باید کرد ؟
گیت وی سرورها رو چی بدم ؟ اینترفیس وی لن سرورها روی سوییچ Core رو پاک کنم ؟ پورت متصل از فایروال به سوییچ سرورها رو برابر با همون گیت وی قبلی سرورها بدم ؟ پورت متصل از فایروال به سوییچ Core رو چی بدم ؟ ....
[/QUOTE]
سوئیچ سرورها رو بزن به فایروال، Gateway سرورها رو پورت فایروال قرار بده (و int vlan سرورها رو حذف کن)
فایروال را به Core وصل کن، این پورت سوئیچ Core رو لایه 3 تعریف کن و بهش ip بده. (سمت فایروال هم یه ip توی همین محدوده بده)
در ضمن Static Route های این وسط هم فراموش نشه.
[QUOTE]در ضمن فکر نکنم نیازی به باز بودن پورت 1433 داشته باشید، چون توی اتوماسیون همکاران، کاربر فقط نیازه به پورت 80 دسترسی داشته باشه [/QUOTE]نه ! ما از اتوماسیون همکاران استفاده نمیکنیم. از سیستم مالیش هست که چک کردم کلاینتها بعد از تنظیمات BDE و اجرای Shortcut سمت کلاینت با پورت 1433 (که ظاهرا برای اتصال BDE یه سرور SQL هست به سرور وصل میشن) - پورت 445 رو هم باز کردم چون ظاهرا از این طریق به قفل شیر شده روی سرور وصل میشن
[QUOTE]سوئیچ سرورها رو بزن به فایروال، Gateway سرورها رو پورت فایروال قرار بده (و int vlan سرورها رو حذف کن)
فایروال را به Core وصل کن، این پورت سوئیچ Core رو لایه 3 تعریف کن و بهش ip بده. (سمت فایروال هم یه ip توی همین محدوده بده)
در ضمن Static Route های این وسط هم فراموش نشه. [/QUOTE]شرمندم ولی متوجه نشدم
چرا باید پورت متصل از فایروال به سوییچ Core (روی سوییچ) رو لایه 3 داد ؟
یه زحمتی بکشید. این عکس رو ببینید
به من بفرمایید مشکلات کجاست ؟ این چیزیه که از فرمایشات شما به ذهن من رسیده
گیت وی سرورها رو هم میدم 172.16.10.2
[U][URL="http://img.club2m.com/share-6B99_4BD152C2.html"][IMG]http://img.club2m.com/image-6B99_4BD152C2.jpg[/IMG][/URL][/U][URL="http://img.club2m.com/share-1BC8_4BD151BB.html"]
[/URL]
سلام
این static route که نوشتید مشکل داره.
زمانی static route نوشته میشه که روتر ندونه بسته رو چطوری به مقصد بفرسته و شما با تعیین روتر بعدی مسیر رو براش مشخص میکنید.
شما اومدید گفتید برای رسیدن به شبکه 172.16.0.0 بسته ها رو به 172.16.10.1 بفرست، در صورتیکه 172.16.10.1 توی همون شبکه ای که مشخص نیست کجاست!
طبق این شکلی که شما کشیدید سرورها، فایروال و یک پورت سوئیچ Core توی یک VLAN قرار دارند، که به نظرم جالب نیست و شاید به مشکل برخورد کنید.
در ضمن بعید میدونم بشه به دو پورت فایروال دو آدرس از یک range داد.
اساتید شبکه انجمن بهتر میتونن راهنماییتون کنند.
سلام
[QUOTE]شما اومدید گفتید برای رسیدن به شبکه 172.16.0.0 بسته ها رو به 172.16.10.1 بفرست، در صورتیکه 172.16.10.1 توی همون شبکه ای که مشخص نیست کجاست![/QUOTE]خوب چه کنم ؟ پورت متصل به فایروال رو لایه 3 ای تعریف کنم و بهش همین ای پی رو بدم درست میشه ؟ بعد آیا همین قضیه در مورد سوییچ سرورها هم صادقه ؟ به پورت متصل از سوییچ سرورها به فایروال هم باید لایه 3 بدم و ای پی براش بذارم ؟
[QUOTE]طبق این شکلی که شما کشیدید سرورها، فایروال و یک پورت سوئیچ Core توی یک VLAN قرار دارند، که به نظرم جالب نیست و شاید به مشکل برخورد کنید.[/QUOTE]اصلا این طور نیست. شکل من همچین چیزی رو میگه ؟؟ ببخشید اگر بد کشیدم ! سرورها تو وی لن 150 هستند ! سوییچ Core هم تو هیچ وی لنی نیست !! منظورتون رو نمیفهم. سوییچ core من الان تمام پورتهاش ترانک هستند با سوییچهای اکسس مختلف و با سوییچ سرورها ! فایروال هم که اصلا نمیفهمم بودنش توی یه وی لن یعنی چی ؟ اون که کلی پورت داره و باید برای هر کدوم جدا تصمیم گیری بشه ! ضمن اینکه من میخوام کمترین دستکاری توی تعریف وی لن ها و بسته های vtp رو داشته باشم و بسته های vtp بین سرورها و core ها خراب نشن
[QUOTE]در ضمن بعید میدونم بشه به دو پورت فایروال دو آدرس از یک range داد.[/QUOTE]حق با شماست. آدرس ها رو عوض میکنیم و توی فایروال روتش رو تعریف میکنیم
جناب افضلان
شما ایرادات رو خوب گرفتی اما نگفتی چه کنیم. :( خودت استادی آقا ! شکسته نفسی نکن
شما بگو با این وضعیت بهترین راه حل چیه و چه باید کرد !
بسیار ممنون از وقتی که میذارید ! واقعا نمیشه جبران کرد
شما توی عکس، IP پورت 1 و 2 فایروال و همچنین سرورها رو توی یک range دادی (172.16.0.0) پس قاعدتا باید توی یک VLAN باشند.
به نظر من راحت ترین کار همونی که توی لینک 23# نوشتم.
کانفیگتون هم تغییر زیادی نمیکنه، کاری به VTP هم نداره.
در ضمن پورت سمت سوئیچ Core رو Trunk کردید و سمت فایروال رو ip دادید، این وسط بسته ها چطوری باید از core به فایروال و برعکس route بشن ؟؟
پس باید پورت سمت Core رو L3 تعریف کنید.
[QUOTE]شما توی عکس، IP پورت 1 و 2 فایروال و همچنین سرورها رو توی یک range دادی (172.16.0.0) پس قاعدتا باید توی یک VLAN باشند.
در ضمن پورت سمت سوئیچ Core رو Trunk کردید و سمت فایروال رو ip دادید، این وسط بسته ها چطوری باید از core به فایروال و برعکس route بشن ؟؟[/QUOTE]
اینها همه وضعیت فعلی هستند که من گفتم نه چیزی که بعد از فایروال میاد
در واقع خواستم بگم شرایط چجوریه و بخوام راهنمایی کنید که چه باید کرد.
من روی اون پست 23 کار میکنم و نتیجه رو میگم
فقط یه نکته ای ؟ پورت سوییچ سرورها به سمت فایروال دیگه لازم نیست لایه 3 باشه ؟
و اینکه با این شرایط دیگه مطمئنا ترافیک روتینگ کلاینتها سمت فایروال نمیاد ؟
سلام
[QUOTE=mhdganji;254602]
فقط یه نکته ای ؟ پورت سوییچ سرورها به سمت فایروال دیگه لازم نیست لایه 3 باشه ؟
[/QUOTE]
نه، نیازی نیست.
[QUOTE=mhdganji;254602]
و اینکه با این شرایط دیگه مطمئنا ترافیک روتینگ کلاینتها سمت فایروال نمیاد ؟[/QUOTE]
مطمئناً نمیاد ! فقط ترافیک سرورها میاد.