10سپاس
LinkBack URL
About LinkBacksترافیک اضافه ایجاد نمیکنه
ترافیک اضافه ایجاد نمیکنه
فکر میکنم من هم اشتباه کردم
از اون حرفها بود !!نوشته اصلی توسط mhdganji
بله
چون شما شبکتون رو خیلی بهتر میشناسید، مطمئناً بهتر از هر شخص دیگه ای میتونید ACL رو بنویسید. فقط کافیه اون پورتها/IP هایی که لازم دارید رو باز کنید.
ویرایش توسط aliafzalan : 2010-04-22 در ساعت 03:25 PM
جالبه که من از یک کلاینت توی یه وی لن کلاینت دیگه توی یه وی لن دیگه رو زیر 1 میلی ثانیه پینگ میکنم (که این مسیر طبیعتا از int vlan) میگذره
اما خود int vlan رو بعضی مواقع تا 40-50 هم میره
در ین مورد نظری ندارید. ؟ فکر کنم حرف اون بنده خدا یه جورایی بی ربط نباشه !!؟؟!!
یه ذره هم قرار بود در مورد دو طرفه بودن اکسس لیست (Stateful Firewall or Filtering) توضیحاتی ارایه بدید ! چیزی که ظاهرا توی فایروال ها هست و تو سوییچ پیش فرض وجود نداه و باید با یه دستوراتی نوشته بشه یا فعال بشه ! نمیدونم .. ؟؟
اصلاً این حرف رو قبول ندارم. من خودم زیر 1ms میتونم ping کنم. int vlan بقیه توی چه زمانی ping میشن ؟ یه سیستم که مستقیماً به سوئیچ Core وصل هست چه ping time ای با int vlan خودش داره؟
CBAC رو مطالعه کنید.
ویرایش توسط aliafzalan : 2010-04-22 در ساعت 05:09 PM
فرض کنید این کار رو کردم و درست شداصلاً این حرف رو قبول ندارم. من خودم زیر 1ms میتونم ping کنم. int vlan بقیه توی چه زمانی ping میشن ؟ یه سیستم که مستقیماً به سوئیچ Core وصل هست چه ping time ای با int vlan خودش داره؟
مشکل از کجا میتونه باشه
یه جاهایی خوندم Clear Arp Cache و این حرفها میتونه تاثیر داشته باشه ؟ نظر شما چیه ؟
راستی جناب afzalan ! یه سوال در مورد dhcp snooping گذاشتم (5-6) روز پیش
ممنون میشم اون رو هم یه التفاتی بفرمایید
سلام به همه دوستان خصوصا جناب afzalan
با یکی از دوستان صحبت کردم میخوام به صورت آزمایشی یه کاری انجام بدم. روتینگ و ارتباط بین وی لن های کلاینتها توی سوییچ core انجام بشه ولی ارتباطشون با سرورها از طریق فایروالی که بین این دو قرار می گیره ! اما در مورد طراحی این قضیه چند تا سوال دارم
ممنون
1- با این حساب اون اکسس لیستها تعطیله دیگه نه ؟ دسترسی به اتوماسیون فقط با پورت 80 و دسترسی به همکاران فقط با 1433 , ... ?? دیگه همه رو باید بیاریم روی فایروال ؟
2- توی طراحی قضیه و کانفیگ سوییچها گیج شدم (بی سوادیه و هزار دردسر)
الان ارتباط بین سرورها و سرورها با کلاینتها از طریق همون اینترفیس وی لن ها روی سوییچ Core برقراره. اما شما میگی ارتباط بین سرور و کلاینتها رو بده به فایروال. خوب چه باید کرد ؟
ببینید الان داستان اینجوریه
SwCore Config
ip routing
int vlan 150 (servers)
ip address 172.16.10.1 (Servers Gateway)
int vlan 100 (Mali)
ip address 192.168.35.1 (Mai Clients Gateway)
int vlan 101 (Edari)
ip address 192.168.38.1 (Edati Clients Gateway)
.
.
.
گیت وی سرورها رو چی بدم ؟ اینترفیس وی لن سرورها روی سوییچ Core رو پاک کنم ؟ پورت متصل از فایروال به سوییچ سرورها رو برابر با همون گیت وی قبلی سرورها بدم ؟ پورت متصل از فایروال به سوییچ Core رو چی بدم ؟ ....
ممنون میشم توضیحات بفرمایید
راستی باز هم اشاره کنم
این شبکه به یه شبکه داخلی دیگه وصل میشه اما به اینترنت نه
قسمت سرورهاش بله، ولی برای جلوگیری از ارتباط بین VLAN ها هنوز نیاز به ACL دارید. ارتباط با سرورها رو بیارید روی فایروال.
در ضمن فکر نکنم نیازی به باز بودن پورت 1433 داشته باشید، چون توی اتوماسیون همکاران، کاربر فقط نیازه به پورت 80 دسترسی داشته باشه (فقط App server نیاز داره به DB وصل بشه که اونها هم همه توی یک سوئیچ هستند - البته اگر که دوتا سرور جدا برای اتوماسیون گذاشته باشید)
سوئیچ سرورها رو بزن به فایروال، Gateway سرورها رو پورت فایروال قرار بده (و int vlan سرورها رو حذف کن)
فایروال را به Core وصل کن، این پورت سوئیچ Core رو لایه 3 تعریف کن و بهش ip بده. (سمت فایروال هم یه ip توی همین محدوده بده)
در ضمن Static Route های این وسط هم فراموش نشه.
نه ! ما از اتوماسیون همکاران استفاده نمیکنیم. از سیستم مالیش هست که چک کردم کلاینتها بعد از تنظیمات BDE و اجرای Shortcut سمت کلاینت با پورت 1433 (که ظاهرا برای اتصال BDE یه سرور SQL هست به سرور وصل میشن) - پورت 445 رو هم باز کردم چون ظاهرا از این طریق به قفل شیر شده روی سرور وصل میشندر ضمن فکر نکنم نیازی به باز بودن پورت 1433 داشته باشید، چون توی اتوماسیون همکاران، کاربر فقط نیازه به پورت 80 دسترسی داشته باشه
شرمندم ولی متوجه نشدمسوئیچ سرورها رو بزن به فایروال، Gateway سرورها رو پورت فایروال قرار بده (و int vlan سرورها رو حذف کن)
فایروال را به Core وصل کن، این پورت سوئیچ Core رو لایه 3 تعریف کن و بهش ip بده. (سمت فایروال هم یه ip توی همین محدوده بده)
در ضمن Static Route های این وسط هم فراموش نشه.
چرا باید پورت متصل از فایروال به سوییچ Core (روی سوییچ) رو لایه 3 داد ؟
یه زحمتی بکشید. این عکس رو ببینید
به من بفرمایید مشکلات کجاست ؟ این چیزیه که از فرمایشات شما به ذهن من رسیده
گیت وی سرورها رو هم میدم 172.16.10.2
ویرایش توسط th95 : 2010-04-23 در ساعت 11:28 AM
سلام
این static route که نوشتید مشکل داره.
زمانی static route نوشته میشه که روتر ندونه بسته رو چطوری به مقصد بفرسته و شما با تعیین روتر بعدی مسیر رو براش مشخص میکنید.
شما اومدید گفتید برای رسیدن به شبکه 172.16.0.0 بسته ها رو به 172.16.10.1 بفرست، در صورتیکه 172.16.10.1 توی همون شبکه ای که مشخص نیست کجاست!
طبق این شکلی که شما کشیدید سرورها، فایروال و یک پورت سوئیچ Core توی یک VLAN قرار دارند، که به نظرم جالب نیست و شاید به مشکل برخورد کنید.
در ضمن بعید میدونم بشه به دو پورت فایروال دو آدرس از یک range داد.
اساتید شبکه انجمن بهتر میتونن راهنماییتون کنند.
سلام
خوب چه کنم ؟ پورت متصل به فایروال رو لایه 3 ای تعریف کنم و بهش همین ای پی رو بدم درست میشه ؟ بعد آیا همین قضیه در مورد سوییچ سرورها هم صادقه ؟ به پورت متصل از سوییچ سرورها به فایروال هم باید لایه 3 بدم و ای پی براش بذارم ؟شما اومدید گفتید برای رسیدن به شبکه 172.16.0.0 بسته ها رو به 172.16.10.1 بفرست، در صورتیکه 172.16.10.1 توی همون شبکه ای که مشخص نیست کجاست!
اصلا این طور نیست. شکل من همچین چیزی رو میگه ؟؟ ببخشید اگر بد کشیدم ! سرورها تو وی لن 150 هستند ! سوییچ Core هم تو هیچ وی لنی نیست !! منظورتون رو نمیفهم. سوییچ core من الان تمام پورتهاش ترانک هستند با سوییچهای اکسس مختلف و با سوییچ سرورها ! فایروال هم که اصلا نمیفهمم بودنش توی یه وی لن یعنی چی ؟ اون که کلی پورت داره و باید برای هر کدوم جدا تصمیم گیری بشه ! ضمن اینکه من میخوام کمترین دستکاری توی تعریف وی لن ها و بسته های vtp رو داشته باشم و بسته های vtp بین سرورها و core ها خراب نشنطبق این شکلی که شما کشیدید سرورها، فایروال و یک پورت سوئیچ Core توی یک VLAN قرار دارند، که به نظرم جالب نیست و شاید به مشکل برخورد کنید.
حق با شماست. آدرس ها رو عوض میکنیم و توی فایروال روتش رو تعریف میکنیمدر ضمن بعید میدونم بشه به دو پورت فایروال دو آدرس از یک range داد.
جناب افضلان
شما ایرادات رو خوب گرفتی اما نگفتی چه کنیم.خودت استادی آقا ! شکسته نفسی نکن
شما بگو با این وضعیت بهترین راه حل چیه و چه باید کرد !
بسیار ممنون از وقتی که میذارید ! واقعا نمیشه جبران کرد
ویرایش توسط th95 : 2010-04-23 در ساعت 07:05 PM
شما توی عکس، IP پورت 1 و 2 فایروال و همچنین سرورها رو توی یک range دادی (172.16.0.0) پس قاعدتا باید توی یک VLAN باشند.
به نظر من راحت ترین کار همونی که توی لینک 23# نوشتم.
کانفیگتون هم تغییر زیادی نمیکنه، کاری به VTP هم نداره.
در ضمن پورت سمت سوئیچ Core رو Trunk کردید و سمت فایروال رو ip دادید، این وسط بسته ها چطوری باید از core به فایروال و برعکس route بشن ؟؟
پس باید پورت سمت Core رو L3 تعریف کنید.
اینها همه وضعیت فعلی هستند که من گفتم نه چیزی که بعد از فایروال میادشما توی عکس، IP پورت 1 و 2 فایروال و همچنین سرورها رو توی یک range دادی (172.16.0.0) پس قاعدتا باید توی یک VLAN باشند.
در ضمن پورت سمت سوئیچ Core رو Trunk کردید و سمت فایروال رو ip دادید، این وسط بسته ها چطوری باید از core به فایروال و برعکس route بشن ؟؟
در واقع خواستم بگم شرایط چجوریه و بخوام راهنمایی کنید که چه باید کرد.
من روی اون پست 23 کار میکنم و نتیجه رو میگم
فقط یه نکته ای ؟ پورت سوییچ سرورها به سمت فایروال دیگه لازم نیست لایه 3 باشه ؟
و اینکه با این شرایط دیگه مطمئنا ترافیک روتینگ کلاینتها سمت فایروال نمیاد ؟
سلام
نه، نیازی نیست.
مطمئناً نمیاد ! فقط ترافیک سرورها میاد.
مجوز های ارسال و ویرایش
