Configuración de las Interfaces a Giga en Secure Platform

Publicado: 04/13/2011 en Uncategorized
Etiquetas:, ,

Si miramos las características técnicas de los appliances (que no quiere decir nada más que cacharro grandote que está especializado en hacer de firewall) de Checkpoint UTM-1 vemos que las interfaces tienen 3 modos de velocidad 10|100|1000 full|half duplex. Cuando intentamos forzar una de las conexiones a 1000 full duplex ¡Oh sorpresa! ¡La opción no aparece vía GUI!

Conexiones de red UTM-1, velocidad

Bueno, no nos pongamos nerviosos. Aun podemos configurarlo por consola. Abres la consola:

# Expert
# ethtool -s ethX speed 1000 duplex full autoneg off

Donde ethX es la interfaz que queremos forzar. Pero esto tampoco dá resultado. Y te preguntas ¿Porqué? Pues muy sencillo, la culpa la tiene el IEEE. Sí, sí, no pongais esa cara.

Según el IEEE las conexiones a un Giga no se pueden forzar, sino que deben ser autonegociadas. Checkpoint que es muy cumplidor con la ley, sigue la normativa para IEEE en este caso, por lo que, no permite entre sus opciones esta configuración no estándar. Ni vía GUI ni via consola.

Pero, ¡yo quiero mi conexión a 1000 full duplex! ¿No hay nada que pueda hacer? Pues sí, tienes dos opciones. Conectar el UTM-1 con un equipo que realice correctamente la negociación a 1000 full duplex o usar el pequeño truco que nos explican en el sk31502 :

Entramos de nuevo en modo consola, en expert. El comando es:

#eth_set ethX 1000f

Este comando no sigue el estandar IEEE por lo que permite realizar el cambio. Sencillo ¿verdad?

Hasta la próxima que espero que sea el prometido post sobre Checkpoint.

Anuncios
comentarios
  1. Raquel dice:

    Hola,qué casualidad!casi todos los problemas q comentas por aquí me voy dando a bruces uno por uno.Mira tengo en los fws la interfaz DMZ configurada para que pasen don vlans,esto lo he hecho vía web creando dos nuevas interfaces de tipo VLAN y que pertenezcan a la DMZ.En el otro extremo hay un sw de 24p con 2 gigas.Es decir,que esa DMZ llega a un giga en el otro extremo.El problema es que ese giga flapea continuamente,up,down y así…he cambiado el cable,le he metido tu comando de eth_set DMZ 1000f y nada..incluso me he conformado con 100Mbps y con la correspondiente config en el giga del sw.Pero nada!incluso he cambiado de puerto en el sw y lo he conectado a un fast ethernet y adivina…continúa flapeando!!qué puede ser?existe algún comando en los propios fw para hacer la encapsulation dot1q?
    Muchas gracias por tu ayuda.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s