مشاهدة النسخة كاملة : سؤال في الـ intervlan
backtrack
21-10-2009, 08:59
السلام عليكم
اخواني لدي سؤال في الـ interlan وهو انه عندما نعمل intervlan على Multilayer switch
فانه vlan 1 نعطيها ip وايضا نعطي vlan 2 و vlan 3 كل واحد ip بعد ذلك نكتب امر الراوتنق sw(config)#ip routing
بهذا جعلنا فيه راوتنق مابين vlan 2 و vlan 3 لحد هنا تمام ...
طيب لو فيه عندي vlan 8 و vlan 9 وعملت مابينهم راوتنج هل يتصلوا مع vlan 2 و vlan 3 مع اني اريد فقط
vlan 2 و vlan 3 مع بعض فقط و vlan 8 و vlan 9 مع بعض فقط ؟؟
هل الحل ان اعمل بينهم acces-list ??
وفقكم الله
رومانسيات
21-10-2009, 09:52
اعمل ACL >>
ولكن
بما انه انت أكيد ال VLANS كله راح تكون الها أكسس لشغلات كتيرة
فحاول تعمل ال deny اول اشي انه تمنع VLAN معينة تروح على باقي ال VLANS
واخر شي تعمل permit any any
اول شي تأكد انه السوريتش تبعك بيدعم ال ACL وحاليا كل السويتشات الجديدة المفروض تدعم
ثاني اشي تأكد انه ال access-list بتقدر تطبقها على ال int vlan بدون مشاكل
حاسس انه في اشي ناقص مش عارف ايش هو
لو اجي شي ببالي راح احكيلك
تحياتي
اعمل ACL >>
ولكن
بما انه انت أكيد ال VLANS كله راح تكون الها أكسس لشغلات كتيرة
فحاول تعمل ال deny اول اشي انه تمنع VLAN معينة تروح على باقي ال VLANS
واخر شي تعمل permit any any
اول شي تأكد انه السوريتش تبعك بيدعم ال ACL وحاليا كل السويتشات الجديدة المفروض تدعم
ثاني اشي تأكد انه ال access-list بتقدر تطبقها على ال int vlan بدون مشاكل
حاسس انه في اشي ناقص مش عارف ايش هو
لو اجي شي ببالي راح احكيلك
تحياتي
تفكير ممتاز أخي الكريم
وأضيف إنك تطبق الأكسس لست على Interface vlan بحيث تكون out لو انت مستخدم ال standard access lis
ip access-group 1 out
وتقدر تطبقها على ال packet tracer
في حالة استخدامك لل extended access list وهي الأفضل طبعًا
لأنك سوف تمنع على أساس ال source و ال destination
فسوف يكون تطبيقك لل access list على الانترفيس in
بمعنى لو عندك 10 vlan ولها هذه ال subnet وهي 192.168.10.0
وعندك vlan 20 ولها هذه ال subnet وهي 192.168.20.0
وعندك vlan 30 ولها هذه ال subnet وهي 192.168.30.0
وتريد أن تمنع vlan 10 من أن تتحدث إلى vlan 30
فسوف تقوم بعمل access list
access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
access-list 100 permit ip any any
ثم
int vlan 10
ip access-group 100 in
backtrack
22-10-2009, 05:06
جزاكم الله خير
وفقك الله اخوي ايهاب على توضيحك
الان وضحت المسألة
one-zero
22-10-2009, 05:35
تمام كما قال اخي ايهاب و الاخ رومنسيات و اضيف ايضا
يمكن ايضا تطبيق vlan access list
على مالتي لاير سويتش مثلا
والتي احيانا نسميها vlan access map
VACL Configuration Example
Switch(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Switch(config)#access-list 2 permit any
Switch(config)#vlan access-map mymap 10
Switch(config-access-map)#match ip address 1
Switch(config-access-map)#action drop
Switch(config-access-map)#exit
Switch(config)#vlan access-map mymap 20
Switch(config-access-map)#match ip address 2
Switch(config-access-map)#action forward
Switch(config-access-map)#exit
Switch(config)# vlan filter mymap vlan-list 5-10
Switch(config-access-map)#end
حمل هذا الملف لتحقيق فائده أكبر :
https://ptgmedia.pearsoncmg.com/images/9781587052460/samplepages/1587052466_Sample.pdf
backtrack
22-10-2009, 06:06
اخوي ياسر وفقك الله
وجزاك الله كل خير
أحمد المنصور
22-10-2009, 12:03
السلام عليكم ورحمة الله وبركاته
أخي العزيز ممكن تستخدم تقنية الـ Private Vlan
وممكن تقرأ عنها في الرابط ده
https://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_example09186a008017acad .shtml
ولو انت في site واحد ومش هيفرق معاك استخدام الراوتنج بروتكول كحل ممكن الآتي :
ممكن تستخدم لكل مجموعة من الـ Vlans نوع مختلف من الراوتنج بروتوكول كـ Eigrp و Ospf
وممكن تستخدم نوع راوتنج واحد لكن تقسمهم لمنطقتين مثل ( OSPF AS 1 and OSPF AS2 )
لكن الفصل باستخدام الـ Private Vlan هيكون أفضل لأنه بيفصل عند الـ Layer 2
وجرب وطمني وصلت لإيه
وفيه حلول كتيرة بس انت شوف الأنسب
Networks-Guy
22-10-2009, 21:39
السلام عليكم ورحمة الله وبركاته
أخي العزيز ممكن تستخدم تقنية الـ Private Vlan
وممكن تقرأ عنها في الرابط ده
https://www.cisco.com/en/US/tech/tk389/tk814/technologies_configuration_example09186a008017acad .shtml
ولو انت في site واحد ومش هيفرق معاك استخدام الراوتنج بروتكول كحل ممكن الآتي :
ممكن تستخدم لكل مجموعة من الـ Vlans نوع مختلف من الراوتنج بروتوكول كـ Eigrp و Ospf
وممكن تستخدم نوع راوتنج واحد لكن تقسمهم لمنطقتين مثل ( OSPF AS 1 and OSPF AS2 )
لكن الفصل باستخدام الـ Private Vlan هيكون أفضل لأنه بيفصل عند الـ Layer 2
وجرب وطمني وصلت لإيه
وفيه حلول كتيرة بس انت شوف الأنسب
بس حسب معلوماتي ال Private VLAN تكون ضمن VLAN واحدة لكن ممكن هو عاوز يفصل بين ال VLANs لسبب او لاخر فيكون حل Access lists هوة الانسب.
كمان استخدام اكتر من روتنج بروتوكول فهو حسب علمي غير عملي لانة رح يلزمة Reditribution و BGP ودة هيعمل Load زيادة مالهوش لازم.
one-zero
22-10-2009, 23:54
فليسمح لي الاخ احمد المنصور ان اعقب على بعض الامور التي يقولها الاخ Networks-Guy
حسب معلوماتي ال Private VLAN تكون ضمن VLAN واحدةفعلا اخي هذا الغرض الاساسي منها
وهي مفيده جدا عندما يكون لديك vlan معينه تحتوي جميع سيرفرات الشركه (server farm يعني ) ولاتريد هذة السيرفرات ان تتحدث مع بعض
وهنا تأتي قيمة ال private vlan
اما بين ال vlans المختلفه فهي لا تعتبر الحل الامثل
كمان استخدام اكتر من روتنج بروتوكول فهو حسب علمي غير عملي لانة رح يلزمة Redistribution و BGP ودة هيعمل Load زيادة مالهوش لازم. اتفق معك
من الطبيعي انه لايوجد داعي لتنوع الروتنج بروتوكول الا اذا لزم الامر بسبب ال overhead اللي حنعاني منه بسبب عمل ال Redistribution
ودائما يجب ان نسعى في تصميم الشبكه ل standardization
اما ال bgp فلا علاقة له بما نقول
مثلا استخدام شبكة ل ospf وشبكه ل eigrp ستحتاج Redistribution بينهم و لاعلاقه بال bgp في الامر
أحمد المنصور
23-10-2009, 10:15
السلام عليكم ورحمة الله وبركاته
لا أعتقد إن الـ Private Vlan يكون ضمنها Vlan واحدة !!!؟؟؟
لأن الـ Private Vlan ممكن تحتوي على أكثر من vlan
وبعد كده يمكن عزلهم
لأنها ممكن تكون Isolated , or Community or Promiscuous
ممكن نقرأ البوست ده
https://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_25_see/configuration/guide/swpvlan.html
وده
https://blog.internetworkexpert.com/2008/01/31/understanding-private-vlans/
وواضح جدا في شرح سيسكو الموضوع ده
+ ممكن تستخدم static route من وإلى الـ Vlans اللي انت عايزها تتصل ببعض بدون تضارب ولا تداخل مع غيرها
+ مقدم الموضوع عايز عزل فلن يحتاج لعمل distribution في حالة استخدام الراوتنج بروتوكولز كحل
+ بصراحة أنا عندي layer 3 switch لكن ليس للتجارب لأنه في بيئة شغالة بالفعل وكان نفسي أجرب وأقولك من باب واقعي ...
الـ private vlan هي أنك تنشأ أكثر من vlan من نوع community أو isolated وكل واحد له منطقه اللي يعمل فيه.
وبعدين تطبق هذي الـ vlan بحيث أنها تتكلم مع الـ vlan اللي هي primary أو promescus
ولكن في حاجة،
الـ vlan اللي حتكون community ستستطيع الأجهزة التخاطب فيما بينها ومع الـ primary ولكن لن تتخاطب مع أي vlan ثانية، ومافيش أي قاعدة تسمح أنها تخاطب غير الاثنين vlan بس اللي هو الحالية والـ primary، أما الـ isolated فالأجهزة لن يستطيعوا التخاطب فيما بينهم حتى، ولكن فقط سيستطيعوا التخاطب مع ال primary.
هذا الكلام متأكد منه مية مية لأني لسة طبقتها وجلست فيها حوالي يومين أتضارب مع السويتشات إلى أن فهمتها تماماااااا
ملاحظة: مش كل الـ MLS سيستطيعوا عمل الـ private vlan
أنا كان معي سويتش 3550 وهو لا يدعم الـ private vlan
اللي دعمه معي هو سويتش 3750 فقط.
شكراً
one-zero
01-11-2009, 01:11
انا فخور بك اخي العزيز attyah (https://www.arabhardware.net/forum/member.php?u=11142985) :)
أنا تلميذك يا بشمهندس ياسر ، وما تعلمتها إلا منك ;)
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir