Salve Ragazzi!

Ho una piccola questione sui Firewall Checkpoint in sostituzione delle ACLs in una rete con Core Layer 3.

Scenario Attuale
Hardware:
Switch Layer 3 con ACLs e diverse VLANs...

Uso:
PC che da alcune VLANs riescono accedere a specifici PC in altre VLANs.


Scenario Futuro
Hardware:
Switch Layer 2 con collegati Checkpoint 2200 Appliance (2 Ridondati)

Uso:
Lo stesso del passato: Solo certi PC possono accedere ad altri PC su VLANs diverse.



Non avendo mai visto un checkpoint e non essendo l'espertone di turno, mi pongo alcune domande sul funzionamento del checkpoint.


Essenzialmente se tu hai uno switch Layer 3 riesci a gestire il traffico tra le VLANs con le ACLs. Mettere un checkpoint firewall su degli switch Layer 2, vuol dire fare la stessa cosa, ma non internamente nello switch, ma grazie al device esterno pluggato ad esso.

O erro? :rolleyes:

Le mie domande sono:

1 - Negli switch nuovi, sono necessarie delle VLANs ovviamente?
2 - Se ho diverse VLANs senza routing tra di loro, dove pluggo il checkpoint? Su che VLAN?

Potrei continuare con altre domande, ma se prima mi tolgo questo dubbio, avrei diverse risposte per le domande successive...

C'è qualcuno che mi può dare lumi a riguardo?

Diciamo che a grandi linee, dopo aver parlato con un tecnico di IBM/Cisco, ho trovato risposta a queste due domande.

Sugli switch è necessario creare le varie VLANs.

Il checkpoint verrà collegato su ogni VLANs il quale si occuperà di gestire il traffico fra di esse, come appunto fanno le ACLs in uno switch layer3.

Poi, tra il dire e il fare c'è di mezzo il mare... :D

Ora tocca farlo in pratica sugli switch e sul checkpoint!

Mi sfugge la dicitura switch layer 3 uno switch lavora a layer2 ed infatti le Vlan lavorano sul layer2, se hai uno switch con capacita' di routing puoi passare da una Vlan all altra.
Non sono pratico di checkpoint ma se e' un firewall lavora per forza dal layer3 in su

Uhmmm....Con gli switch layer 3 è possibile il routing tra vlan e si applicano le acl, con il layer 2 tocca usare un router "on a stick" con la trunk port configurata manualmente (no DTP) e impostare dunque le acl sul router.

Considera che passando dal checkpoint le prestazioni peggioreranno imho..

Inviato dal mio MB525

Sono circa 7 anni che lavoro con le ACLs su switch Cisco Layer3...
Alla fine una volta che le hai impostate per la prima volta, dopo al limite devi solo fare qualche aggiunta se integri qualche servizio che deve passare da un layer a un altro... Insomma, diciamo una cosa molto gestibile. L'importante è avere sempre una copia delle configurazioni degli switch :p

Ma quando si tratta delle così dette "scelte di gruppo" è appunto il gruppo che decide e i network engineer dei competence center saltano fuori con le ideone :rolleyes:
Molti di loro hanno letto tanti libri e sulla carta e nelle presentazioni di powerpoint son tutti fighi. Il fatto che poi non sono mai stati in uno stabilimento operativo dove magari hai quella quarantina di switch, server, client, utenti, impianto, etc etc

Non so e non posso giudicare le prestazioni di un checkpoint vs acl, non avendone mai visto ed installato uno. E capirei se uno vuole orientarsi sul risparmio, ma nemmeno quello... perché un device del genere costa più o meno 2500 euro (x2= 5000 visto che vogliono la ridondanza)... In più ti ci vogliono gli switch ovviamente... A sti punti questi 5000 euro li investo in un bel core come si deve... bah! Ovvio cisco non regala, ma (toccandomi) non ho mai avuto un fuori servizio su un core.

Mani legate quindi e mi toccherà implementare questa soluzione.
Ho aperto il thread, per capire se qualcuno di voi ha mai fatto configurazioni simili, se è passato da ACLs a Checkpoint, quali problemi ha incontrato, quali pro e quali contro...

Understand? ;)