Forum
Bildirimler
Hepsini Temizle
Network Genel
12
Yazılar
6
Üyeler
4
Reactions
2,232
Görüntüleme
Konu başlatıcı
Mrb arkadaşlar,
60 pc, 4 server ve bir fortigateden oluşan yapımız var.hali hazırda tüm switchler unmanaged ve 100mbit. bir başka kapanan şirketimizden yönetilebilir gigabit switchler gelecek. 2 farklı model.
1.WS-C2960S-48TS-L / 48 port
2.WS-C3750G-24T-S / 24 port
"4 adet 24 portlu" veya 2 adet "48 portlu" olan ile değiştirmek istiyoruz. 2.yazdıgım switch layer 3 model. yapımızda vlan olacak ama wifi ve misafirler için tamamen izole olacak.vlanlar arası routing olmayacak. sizde hangi modeli tercih edip kullanmalıyım.
Gönderildi : 11/05/2019 10:16
Selamlar @SonerBalci,
Backbone için 3750 yi kullanın Suncuu ve Firewall tarafını 3750'de sonlandırın clientlar için de 2960 switchleri kullanın.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 11/05/2019 14:20
merhaba,
Cumhur hocanın belirttiklerine ek olarak, vlanları fortigate üzerinde sonlandırmanızı öneririm.
bugün ihtiyacınız olmadasa, ileride vlanlar arası erişimi sağlayıp, security profil uygulamanız gerekecektir.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 11/05/2019 15:40
VLAN'ları direct switch üzerinden değilde güvenlik duvarı üzerinden yaptığımızda yavaşlama olmaz mı? Sonuçta paketler VLAN'lar arası her geçişinde güvenlik duvarının üzerinden geçecek ve doğal olarak hem yolu uzatacak hem de güvenlik duvarına fazladan yük bindirecek. Yanlış mı düşünüyorum acaba?
Gönderildi : 11/05/2019 16:05
Konu başlatıcı
değerli cevaplarınız için teşekkür ederim.bir üstteki mesajda soruldugu üzere Fortigate üzerinden vlan sonlandırma yapılırsa performans sorunu yaşarmıyız acaba.cihaz fortigate 60d ve performans konusunda bana pek güven vermiyor. ayrıca 60pc ve 20 kadar cihazın(pos,yazıcı vs) oldugu yapıda vlan kullanmak ciddi manada performans getirisi olurmu acaba.özellikle kontrolsüz broadcast azalacagı için faydasını görürmüyüz.
Bu ileti 6 yıl önce Soner Balcı tarafından düzenlendi
Gönderildi : 11/05/2019 23:23
Selamlar ,
Vlanları 3750 üzerinde oluşturun acl'ler ile vlanlar arası erişim açma ve kapatma yapabilirsiniz. Forti üzerinde oluşturursanız vlanlar arası trafik forti üzerinden geçeceği için trafik durumuna göre performans problemleri yaşamanız ihtimal dahilinde.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 12/05/2019 01:12
Teknik olarak fw uzerinde vlan sonlandirmak mantikli.
lakin 60d uzerinde degil...
3750G l3 olarak sonlandir. Yapin kucuk vlana ihtiyacin yok, yok illa yapacagim dersen o ayri o vlanlarida 3750 uzerinde olustur.
ayrica bir vlan ile forti ve 3750 arasinda routed bir network yaparak sadece internet guvenligi icin fw yi kullan. 60d zayif bir cihaz problem olursa sadece internete cikamazsin ama hersey calisir.
kucuk kurgularda bu yapi daha mantiklidir.
sorun olursa burdayiz.
Gönderildi : 12/05/2019 01:13
değerli cevaplarınız için teşekkür ederim.bir üstteki mesajda soruldugu üzere Fortigate üzerinden vlan sonlandırma yapılırsa performans sorunu yaşarmıyız acaba.cihaz fortigate 60d ve performans konusunda bana pek güven vermiyor. ayrıca 60pc ve 20 kadar cihazın(pos,yazıcı vs) oldugu yapıda vlan kullanmak ciddi manada performans getirisi olurmu acaba.özellikle kontrolsüz broadcast azalacagı için faydasını görürmüyüz.
burada network trafiğini bilmeniz gerekir.
kobi seviyesinde kurumsal ve misafir vlan için ciddi bir trafik ortaya çıkmıyor.
kurumsal kablosuz için ciddi bir trafik mevcut diyelim, ayrı network yerine switchler üzerinden bağlantı verebilirsiniz.
60d kapasitesi belli, ancak kurum/misafir 2 vlan ile devreye almak kısa sürecektir.
olmadığı takdirde yapıyı üstte önerilen gibi routing sürecini yönetmek için switch üzerine alırsınız.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 13/05/2019 22:45
selam abi,
benim yapım dağınık toplamaya çalışıyorum, ,bir tane omurga l3 switch alıyorum,
4 tane kenar hp l2 switch bir tanede forti 60e firewall var,
normalde vlan 2 tane idi, bir tane server ailesi için 192.168.1.0 blok birde standart 192.168.2.0 blok
gatewayleri forti firewalldı, tüm trafik ona geliyordu,spefisik durumlar için 1.0 bloga gerekli istemci için tek tek kural yazıyordum.
şimdi 5 tane vlan yapıp , bunların uplinklerini yeni omurga switche getirmek istiyorum,
l3 switche bildiğim kadarıyla switch svi yapılıyor, networkdeki yükü l3 karşılayacak bu durumda fortinin yükü hafifleyecek,
vlan gatewayleri
192.168.1.1 üretim
192.168.2.1 mühendislik
192.168.3.1 arge
192.168.4.1 yönetim
192.168.5.1 acces point- yazıcı - turnike - kart okuyucu ,
olduğunu varsayarsak firewalın nimetlerinden nasıl yararlanacağız ?
gatewaylar sonucta L3 gidecek hem mantıksal hem fiziksel olarak ,vlan lar arası yönlendirmeyi l3 yapıyor? firewalla nasıl trafik gelecek ? gelsede filtremeyi yada kesip biçmeyi nasıl yapıyor ,ttekrar yük binmeyecekmi bu durumda ,
kafama oturması için aydınlatırsanız sevinirim.
Gönderildi : 15/05/2020 01:59
selam abi,
benim yapım dağınık toplamaya çalışıyorum, ,bir tane omurga l3 switch alıyorum,
4 tane kenar hp l2 switch bir tanede forti 60e firewall var,
normalde vlan 2 tane idi, bir tane server ailesi için 192.168.1.0 blok birde standart 192.168.2.0 blok
gatewayleri forti firewalldı, tüm trafik ona geliyordu,spefisik durumlar için 1.0 bloga gerekli istemci için tek tek kural yazıyordum.
şimdi 5 tane vlan yapıp , bunların uplinklerini yeni omurga switche getirmek istiyorum,
l3 switche bildiğim kadarıyla switch svi yapılıyor, networkdeki yükü l3 karşılayacak bu durumda fortinin yükü hafifleyecek,
vlan gatewayleri
192.168.1.1 üretim
192.168.2.1 mühendislik
192.168.3.1 arge
192.168.4.1 yönetim
192.168.5.1 acces point- yazıcı - turnike - kart okuyucu ,
olduğunu varsayarsak firewalın nimetlerinden nasıl yararlanacağız ?
gatewaylar sonucta L3 gidecek hem mantıksal hem fiziksel olarak ,vlan lar arası yönlendirmeyi l3 yapıyor? firewalla nasıl trafik gelecek ? gelsede filtremeyi yada kesip biçmeyi nasıl yapıyor ,ttekrar yük binmeyecekmi bu durumda ,
kafama oturması için aydınlatırsanız sevinirim.
Selamlar @feriterkadam
Genel mantık şu şekildedir 1. opsiyon Vlanlar Firewall üzerinde oluşturulur ve switch uplinklerinde taglanır ve switchlerde de aynı vlanlar oluşturulur clientlar gateway olarak Firewall ı görür vlanlar arası trafik Firewall üzerinden geçer bu durumda network yüküne göre Firewall üzerinde gereksiz yük bindirilme durumu mevcut ancak policy ve yönetim tarafı genel olarak daha basittir.
2. opsiyon ( L3 Routing yapan bir Switch var ise ) Vlanlar L3 Sw üzerinde oluşturulur sw üzerinde internet erişimi için Firewall a paketleri gönderen routing yazılır. Vlanlar arası trafik için switch üzerinde acl ler yazılarak kontrol sağlanır. Sw Backplane kapasitesi yüksek oldugu için network büyüklüğüne göre tercih edilmesi gereken topolojidir. Sw üzerinde acl ler komut satırından yönetileceği için uzmanlık ve tecrübe gerektirir.
Ancak genel mantık Vlanları yöneten L3 Sw veya Firewall cihazların gateway olarak ilgili cihazı görmeleridir. Network doğası gereği kendi networkunda bulunmayan paketlere erişim için paketler tanımlı gw adresine yönlendireleceği için konumlandıracagınız cihazın yeteneklerine kalıyor sonrası.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 15/05/2020 02:42
Hakan Uzuner and Hakan Uzuner reacted
selam abi,
benim yapım dağınık toplamaya çalışıyorum, ,bir tane omurga l3 switch alıyorum,
4 tane kenar hp l2 switch bir tanede forti 60e firewall var,
normalde vlan 2 tane idi, bir tane server ailesi için 192.168.1.0 blok birde standart 192.168.2.0 blok
gatewayleri forti firewalldı, tüm trafik ona geliyordu,spefisik durumlar için 1.0 bloga gerekli istemci için tek tek kural yazıyordum.
şimdi 5 tane vlan yapıp , bunların uplinklerini yeni omurga switche getirmek istiyorum,
l3 switche bildiğim kadarıyla switch svi yapılıyor, networkdeki yükü l3 karşılayacak bu durumda fortinin yükü hafifleyecek,
vlan gatewayleri
192.168.1.1 üretim
192.168.2.1 mühendislik
192.168.3.1 arge
192.168.4.1 yönetim
192.168.5.1 acces point- yazıcı - turnike - kart okuyucu ,
olduğunu varsayarsak firewalın nimetlerinden nasıl yararlanacağız ?
gatewaylar sonucta L3 gidecek hem mantıksal hem fiziksel olarak ,vlan lar arası yönlendirmeyi l3 yapıyor? firewalla nasıl trafik gelecek ? gelsede filtremeyi yada kesip biçmeyi nasıl yapıyor ,ttekrar yük binmeyecekmi bu durumda ,
kafama oturması için aydınlatırsanız sevinirim.
Selamlar @feriterkadam
Genel mantık şu şekildedir 1. opsiyon Vlanlar Firewall üzerinde oluşturulur ve switch uplinklerinde taglanır ve switchlerde de aynı vlanlar oluşturulur clientlar gateway olarak Firewall ı görür vlanlar arası trafik Firewall üzerinden geçer bu durumda network yüküne göre Firewall üzerinde gereksiz yük bindirilme durumu mevcut ancak policy ve yönetim tarafı genel olarak daha basittir.
2. opsiyon ( L3 Routing yapan bir Switch var ise ) Vlanlar L3 Sw üzerinde oluşturulur sw üzerinde internet erişimi için Firewall a paketleri gönderen routing yazılır. Vlanlar arası trafik için switch üzerinde acl ler yazılarak kontrol sağlanır. Sw Backplane kapasitesi yüksek oldugu için network büyüklüğüne göre tercih edilmesi gereken topolojidir. Sw üzerinde acl ler komut satırından yönetileceği için uzmanlık ve tecrübe gerektirir.
Ancak genel mantık Vlanları yöneten L3 Sw veya Firewall cihazların gateway olarak ilgili cihazı görmeleridir. Network doğası gereği kendi networkunda bulunmayan paketlere erişim için paketler tanımlı gw adresine yönlendireleceği için konumlandıracagınız cihazın yeteneklerine kalıyor sonrası.
selam abi açıklaman için teşekkür ederim, tam olarak sahada canlandırmadığım için kısmı olarak dediklerini anladım, kusura bakmayın belki çok amatörce gelebilir, hazır sistemlerin başına geçtiğimiz için sıfırdan kurgu-senaryo yapmadık haliyle usta-çırak ilişkiside yaşamadık,
1. opsiyon olarak bahsettiğiniz yapı hali hazırda benim kullandığıma çok yakın , networkü firewall yönetiyor,
2. opsiyon benim anlamaya çalıştıgım yapı : 192.168.1-5 arası subneting yapılmış 5 adet gateway var statik olarak clientlara portlanmış vlanlar karışık switchler mevcut, bu durumda tüm giriş- çıkışlar ACL ile yönetilecek yani 192.168.5.50 ip sindeki domain DC sunucusuna kendi vlani hariç tüm vlanlara erişim tanımlanacak , yada yazıcılara yada File server sunucusuna.
ACL port bazlımı yapılıyor ? es kaza clientlardan birine kurulan bir yazılım örneğin ( güvenlik giriş-çıkış defter yazılımı ) yine tüm vlanlara ilgili client pc için ACL mi yazılacak ? büyük yada çok cihazlı yapılarda nasıl yönetiyorsunuz,
l3 den internet için ,firewall atlarken nasıl bir çerçeveden bakıyorsunuz.
şimdiden çok teşekkür ederim.
Gönderildi : 16/05/2020 03:44
Selamlar @feriterkadam
2. yapıp BackBone olarak kullanacağınız switch e göre değişkenlik gösterir yanı kullanmayı planladıgınız policyler e göre değişir ancak genel olarak policyler port bazlı da yazabilirsiniz.
192.168.5.0/24 networku 192.1668.1.0/24 networkune full erişsin veya sadece belirli portlardan erişsin diyebilirsiniz ancak genel olarak cli ile bunlar yapılacağı için ilerleyen zamanlarda uzmanlık seviyenize ve oluşturacağınız kurallara bağlı olarak yönetmek tarafında sıkıntılar yaşayabilirsiniz.
Kullanmış oldugunuz Firewall ın kaynaklarında aşırı yüklenme olmuyor ise Firewall ile yönetmek daha basit olacaktır.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 20/05/2020 00:12
Erdem AYTEK and Erdem AYTEK reacted
