السلام عليكم

اخواني لدي سؤال في الـ interlan وهو انه عندما نعمل intervlan على Multilayer switch

فانه vlan 1 نعطيها ip وايضا نعطي vlan 2 و vlan 3 كل واحد ip بعد ذلك نكتب امر الراوتنق sw(config)#ip routing

بهذا جعلنا فيه راوتنق مابين vlan 2 و vlan 3 لحد هنا تمام ...

طيب لو فيه عندي vlan 8 و vlan 9 وعملت مابينهم راوتنج هل يتصلوا مع vlan 2 و vlan 3 مع اني اريد فقط

vlan 2 و vlan 3 مع بعض فقط و vlan 8 و vlan 9 مع بعض فقط ؟؟

هل الحل ان اعمل بينهم acces-list ??

وفقكم الله

اعمل ACL >>

ولكن

بما انه انت أكيد ال VLANS كله راح تكون الها أكسس لشغلات كتيرة

فحاول تعمل ال deny اول اشي انه تمنع VLAN معينة تروح على باقي ال VLANS

واخر شي تعمل permit any any

اول شي تأكد انه السوريتش تبعك بيدعم ال ACL وحاليا كل السويتشات الجديدة المفروض تدعم

ثاني اشي تأكد انه ال access-list بتقدر تطبقها على ال int vlan بدون مشاكل

حاسس انه في اشي ناقص مش عارف ايش هو

لو اجي شي ببالي راح احكيلك

تحياتي

اعمل ACL >>

ولكن

بما انه انت أكيد ال VLANS كله راح تكون الها أكسس لشغلات كتيرة

فحاول تعمل ال deny اول اشي انه تمنع VLAN معينة تروح على باقي ال VLANS

واخر شي تعمل permit any any

اول شي تأكد انه السوريتش تبعك بيدعم ال ACL وحاليا كل السويتشات الجديدة المفروض تدعم

ثاني اشي تأكد انه ال access-list بتقدر تطبقها على ال int vlan بدون مشاكل

حاسس انه في اشي ناقص مش عارف ايش هو

لو اجي شي ببالي راح احكيلك

تحياتي

تفكير ممتاز أخي الكريم

وأضيف إنك تطبق الأكسس لست على Interface vlan بحيث تكون out لو انت مستخدم ال standard access lis

ip access-group 1 out

وتقدر تطبقها على ال packet tracer

في حالة استخدامك لل extended access list وهي الأفضل طبعًا

لأنك سوف تمنع على أساس ال source و ال destination

فسوف يكون تطبيقك لل access list على الانترفيس in

بمعنى لو عندك 10 vlan ولها هذه ال subnet وهي 192.168.10.0
وعندك vlan 20 ولها هذه ال subnet وهي 192.168.20.0
وعندك vlan 30 ولها هذه ال subnet وهي 192.168.30.0
وتريد أن تمنع vlan 10 من أن تتحدث إلى vlan 30

فسوف تقوم بعمل access list
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 permit ip any any

ثم
int vlan 10
ip access-group 100 in

جزاكم الله خير

وفقك الله اخوي ايهاب على توضيحك

الان وضحت المسألة

تمام كما قال اخي ايهاب و الاخ رومنسيات و اضيف ايضا
يمكن ايضا تطبيق vlan access list
على مالتي لاير سويتش مثلا
والتي احيانا نسميها vlan access map


VACL Configuration Example

Switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Switch(config)#access-list 2 permit any
Switch(config)#vlan access-map mymap 10
Switch(config-access-map)#match ip address 1
Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map mymap 20
Switch(config-access-map)#match ip address 2
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Switch(config)# vlan filter mymap vlan-list 5-10
Switch(config-access-map)#end


حمل هذا الملف لتحقيق فائده أكبر :

https://ptgmedia.pearsoncmg.com/images/9781587052460/samplepages/1587052466_Sample.pdf

اخوي ياسر وفقك الله

وجزاك الله كل خير

السلام عليكم ورحمة الله وبركاته

أخي العزيز ممكن تستخدم تقنية الـ Private Vlan

وممكن تقرأ عنها في الرابط ده

https://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_example09186a008017acad .shtml

ولو انت في site واحد ومش هيفرق معاك استخدام الراوتنج بروتكول كحل ممكن الآتي :

ممكن تستخدم لكل مجموعة من الـ Vlans نوع مختلف من الراوتنج بروتوكول كـ Eigrp و Ospf

وممكن تستخدم نوع راوتنج واحد لكن تقسمهم لمنطقتين مثل ( OSPF AS 1 and OSPF AS2 )

لكن الفصل باستخدام الـ Private Vlan هيكون أفضل لأنه بيفصل عند الـ Layer 2

وجرب وطمني وصلت لإيه

وفيه حلول كتيرة بس انت شوف الأنسب

السلام عليكم ورحمة الله وبركاته

أخي العزيز ممكن تستخدم تقنية الـ Private Vlan

وممكن تقرأ عنها في الرابط ده

https://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_example09186a008017acad .shtml

ولو انت في site واحد ومش هيفرق معاك استخدام الراوتنج بروتكول كحل ممكن الآتي :

ممكن تستخدم لكل مجموعة من الـ Vlans نوع مختلف من الراوتنج بروتوكول كـ Eigrp و Ospf

وممكن تستخدم نوع راوتنج واحد لكن تقسمهم لمنطقتين مثل ( OSPF AS 1 and OSPF AS2 )

لكن الفصل باستخدام الـ Private Vlan هيكون أفضل لأنه بيفصل عند الـ Layer 2

وجرب وطمني وصلت لإيه

وفيه حلول كتيرة بس انت شوف الأنسب


بس حسب معلوماتي ال Private VLAN تكون ضمن VLAN واحدة لكن ممكن هو عاوز يفصل بين ال VLANs لسبب او لاخر فيكون حل Access lists هوة الانسب.
كمان استخدام اكتر من روتنج بروتوكول فهو حسب علمي غير عملي لانة رح يلزمة Reditribution و BGP ودة هيعمل Load زيادة مالهوش لازم.

فليسمح لي الاخ احمد المنصور ان اعقب على بعض الامور التي يقولها الاخ Networks-Guy


حسب معلوماتي ال Private VLAN تكون ضمن VLAN واحدةفعلا اخي هذا الغرض الاساسي منها

وهي مفيده جدا عندما يكون لديك vlan معينه تحتوي جميع سيرفرات الشركه (server farm يعني ) ولاتريد هذة السيرفرات ان تتحدث مع بعض
وهنا تأتي قيمة ال private vlan

اما بين ال vlans المختلفه فهي لا تعتبر الحل الامثل


كمان استخدام اكتر من روتنج بروتوكول فهو حسب علمي غير عملي لانة رح يلزمة Redistribution و BGP ودة هيعمل Load زيادة مالهوش لازم. اتفق معك
من الطبيعي انه لايوجد داعي لتنوع الروتنج بروتوكول الا اذا لزم الامر بسبب ال overhead اللي حنعاني منه بسبب عمل ال Redistribution
ودائما يجب ان نسعى في تصميم الشبكه ل standardization

اما ال bgp فلا علاقة له بما نقول
مثلا استخدام شبكة ل ospf وشبكه ل eigrp ستحتاج Redistribution بينهم و لاعلاقه بال bgp في الامر

السلام عليكم ورحمة الله وبركاته

لا أعتقد إن الـ Private Vlan يكون ضمنها Vlan واحدة !!!؟؟؟


لأن الـ Private Vlan ممكن تحتوي على أكثر من vlan

وبعد كده يمكن عزلهم

لأنها ممكن تكون Isolated , or Community or Promiscuous


ممكن نقرأ البوست ده

https://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_25_see/configuration/guide/swpvlan.html

وده

https://blog.internetworkexpert.com/2008/01/31/understanding-private-vlans/



وواضح جدا في شرح سيسكو الموضوع ده


+ ممكن تستخدم static route من وإلى الـ Vlans اللي انت عايزها تتصل ببعض بدون تضارب ولا تداخل مع غيرها


+ مقدم الموضوع عايز عزل فلن يحتاج لعمل distribution في حالة استخدام الراوتنج بروتوكولز كحل

+ بصراحة أنا عندي layer 3 switch لكن ليس للتجارب لأنه في بيئة شغالة بالفعل وكان نفسي أجرب وأقولك من باب واقعي ...

الـ private vlan هي أنك تنشأ أكثر من vlan من نوع community أو isolated وكل واحد له منطقه اللي يعمل فيه.

وبعدين تطبق هذي الـ vlan بحيث أنها تتكلم مع الـ vlan اللي هي primary أو promescus

ولكن في حاجة،

الـ vlan اللي حتكون community ستستطيع الأجهزة التخاطب فيما بينها ومع الـ primary ولكن لن تتخاطب مع أي vlan ثانية، ومافيش أي قاعدة تسمح أنها تخاطب غير الاثنين vlan بس اللي هو الحالية والـ primary، أما الـ isolated فالأجهزة لن يستطيعوا التخاطب فيما بينهم حتى، ولكن فقط سيستطيعوا التخاطب مع ال primary.


هذا الكلام متأكد منه مية مية لأني لسة طبقتها وجلست فيها حوالي يومين أتضارب مع السويتشات إلى أن فهمتها تماماااااا


ملاحظة: مش كل الـ MLS سيستطيعوا عمل الـ private vlan

أنا كان معي سويتش 3550 وهو لا يدعم الـ private vlan
اللي دعمه معي هو سويتش 3750 فقط.



شكراً

انا فخور بك اخي العزيز attyah (https://www.arabhardware.net/forum/member.php?u=11142985) :)

أنا تلميذك يا بشمهندس ياسر ، وما تعلمتها إلا منك ;)

جزاكم الله كل خير