Xin chào !

Em có 4 Vlan : 2,3,4,5 trên SW 3750 . IP các Vlan : 192.168.x.0/24 (x: 2->5)
Yêu cầu :
+ Vlan 2 thấy Vlan 3
+ Vlan 2 thấy Vlan 5
+ Vlan 3 thấy Vlan 4
+ Còn lại không thấy nhau ( 2 != 4, 3 != 5, 4 != 5 ).

Em cấu hình Vlan ACL trên SW 3750 nhu sau :

ip access-list extended vlan_forward
permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255

ip access-list extended vlan_drop
permit ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
permit ip 192.168.3.0 0.0.0.255 192.168.5.0 0.0.0.255
permit ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255

vlan access-map map1 10
match ip address vlan_forward
action forward

vlan access-map map1 20
match ip address vlan_drop
action drop

vlan filter map1 vlan-list 2-5

Ban đầu em dùng IP Routing thì all Vlan đều thấy nhau . Nhưng khi làm theo yêu cầu với cấu hình trên thì không có Vlan nào thấy được Vlan nào hết .

Xin cho em hỏi cấu hình của em như vậy đúng không hay là cần phải sửa lại chỗ nào .

Em cảm ơn .

Bác kiểm tra lại VLAN ACL đi, về nguyên tắc thì nên dùng ACL cho các VLAN khác nhau, tuy nhiên nếu bác muốn dùng chung thì phải UNION nó lại. Trong trường hợp trên ACL của bác chỉ cho phép 1 chiều nên ko được là phải rồi.

hienpt nên dùng Router ACL chứ không dùng Vlan Access List.

Còn sự khác nhau giữa hai loại ACL này là:
- Router ACL tác động đến traffic "through" vlan. Nghĩa là traffic đi giữa (between) các vlan.
- VLAN ACL áp dụng cho các traffic nội trong vlan (within vlan).

Router ACL thì áp dụng trên interface vlan của sw L3. Còn VLAN ACL thì không áp dụng vào interface vlan.

Em cám ơn Thầy Minh

Thanks LeVy