Chào các Pro,

Cho tôi hỏi vấn đề về routing giữa các vlan.

Hệ thống mạng có 5 VLAN (VLAN110, ...VLAN150). Hiện tại các VLAN đang routing bằng L3 Switch.

Yêu cầu:

1. Vlan 110 không nhìn thấy các vlan khác và các vlan khác cũng không nhìn thấy vlan110. tuy nhiên vlan 110 có thể ra internet bằng IP router tại vlan150 (172.26.5.254)
3. Duy nhất vlan120 và vlan130 có thể nhìn thấy nhau.
2. Vlan140 có thể nhìn được các vlan khác nhưng ngược lại thì không.

Các pro xem trường hợp này có khả thi không và giải pháp.

Thank you.

Sunsparc.

Chào các Pro,

Cho tôi hỏi vấn đề về routing giữa các vlan.

Hệ thống mạng có 5 VLAN (VLAN110, ...VLAN150). Hiện tại các VLAN đang routing bằng L3 Switch.

Yêu cầu:

1. Vlan 110 không nhìn thấy các vlan khác và các vlan khác cũng không nhìn thấy vlan110. tuy nhiên vlan 110 có thể ra internet bằng IP router tại vlan150 (172.26.5.254)
3. Duy nhất vlan120 và vlan130 có thể nhìn thấy nhau.
2. Vlan140 có thể nhìn được các vlan khác nhưng ngược lại thì không.

Các pro xem trường hợp này có khả thi không và giải pháp.

Thank you.

Sunsparc.

Có thể sử dụng được .
Các vlan trên đều sử dụng trên 1 sw layer 3 hay trên cái sw access và nối về sw core .

Chào các Pro,

Cho tôi hỏi vấn đề về routing giữa các vlan.

Hệ thống mạng có 5 VLAN (VLAN110, ...VLAN150). Hiện tại các VLAN đang routing bằng L3 Switch.

Yêu cầu:

1. Vlan 110 không nhìn thấy các vlan khác và các vlan khác cũng không nhìn thấy vlan110. tuy nhiên vlan 110 có thể ra internet bằng IP router tại vlan150 (172.26.5.254)
3. Duy nhất vlan120 và vlan130 có thể nhìn thấy nhau.
2. Vlan140 có thể nhìn được các vlan khác nhưng ngược lại thì không.

Các pro xem trường hợp này có khả thi không và giải pháp.

Thank you.

Sunsparc.
Chào bạn,
Bạn có thể cấu hình ACLs sau đó áp vào từng interface VLAN
Mỗi VLAN bạn tạo ra dãy ACLs như sau :
access-list 100 deny ip net-vlan 10 net-vlan 20
access-list 100 deny ip net-vlan 10 net-vlan 30
access-list 100 deny ip net-vlan 10 net-vlan 40
access-list 100 deny ip net-vlan 10 net-vlan 50
.....
thêm câu : access-list 100 deny ip net-vlan 10 any
interface vlan 10
ip access-group 100 in

Hoặc bạn dùng Vlan Accesslist :
Chào !!!
Mình thấy vấn đề của bạn đã được giải quyết tại đây :http://www.vnpro.org/forum/showthread.php?t=5888

Tuy nhiên mình xin rút gọn lại cách cấu hình để bạn dễ dàng nắm bắt (5 bước cơ bản nhất):
Bước 1 : Cấu hình một ip access-list :

ip access-list {standard | extended} acl-name
Lưu ý :
Permit : tương ứng với bạn quan tâm đến dãy ip đó.
Deny : tương ứng với bạn không quan tâm đến dãy ip đó.
Quan tâm tương ứng với nó sẽ thực hiện theo câu lệnh action điều khiển.

Ví dụ : bạn quan tâm đến dãy ip x-y không quan tâm đến dãy ip a-b , action là : action drop .
=> x-y sẽ bị drop còn a-b cũng sẽ bị drop nếu như bạn không cấu hình thêm 1 access-map với action forward cho nó..

Bước 2 : Định nghĩa một Vlan -access map bằng câu lệnh :
vlan access-map map_name [0-65535]


Vấn đề đặt ra là bạn cũng có thể không cần gán số thứ tự từ [0-65535] , switch sẽ tự tạo. Trường hợp dùng số khi nào bạn dùng map-name chung cho nhiều access-map khi đó nó sẽ gán một số mà bật tăng lần lượt lên 10 đơn vị. Ví dụ : 10, 20, 30...


Bước 3: Cấu hình một "match clause". Định nghĩa ra một mệnh đề liên hệ giữa vlan-acesslist và ip access-list ở trên :

match ip address {acl_number | acl_name}

hay tổng quát nhất là câu lệnh :

match {ip | mac} address {name |
number} [name | number]
Bước 4: Cấu hình "hành động mà switch sẽ làm với vlan-access map ở trên


action {drop | forward}
Lưu ý :
1) Bạn có thể không cần đánh cụ thể là drop hay forward mặc định không chọn nó sẽ lấy hành động là forward


Ví dụ :

Switch(config)# ip access-list extended ip1
Switch(config-ext-nacl)# permit tcp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 10
Switch(config-access-map)# match ip address ip1
Switch(config-access-map)# action drop

Switch(config)# ip access-list extended ip2
Switch(config-ext-nacl)# permit udp any any
Switch(config-ext-nacl)# exit
Switch(config)# vlan access-map map_1 20
Switch(config-access-map)# match ip address ip2
Switch(config-access-map)# action forward

Bước 5 : apply một vlan-map vào một vlan (bước này quan trọng và học viên thường hay quên)
vlan filter mapname vlan-list list
Lưu ý :
- Chúng ta có thể apply 1 vlan-map vào nhiều vlan
- list (ở trên ) có thể là : 1 vlan (20), range vlan (10-20), vlan tùy chọn (10,25,30,36)


Chào bạn,
Trên COS , bạn cần làm 3 bước để tạo VLAN ACLs:
Bước 1 : Cấu hình 1 ACls:

set security acl ip {acl_name} {permit | deny |
redirect mod/port} {protocol} {sourceaddress mask}
[op] [srcport] {dest mask} [op] [destport] [before
editbuffer_index | modify editbuffer_index] [log]
(Tương ứng với cấu hình ip acls trên IOS

Bước 2 :Chuyển giao ACls vào TCAM

commit security acl {name | all}

Bước 3: Map ACLs vào Vlan

set security acl map acl_name vlan



Chúc vui .
Bạn xem thêm tại : http://vnpro.org/forum/showthread.php?p=91379#post91379
.......

Xem thêm bài viết này :

Đối với filter Vlan có 2 cách:RACL và VACL
RACL: Dùng để lọc các packet giữa các vlan
VACL: Dùng để lọc các packet trong cùng Vlan
----------------------------------------------------------
Khi làm việc trên Switch layer 3. Ta biết rằng Switch này sẽ hỗ trợ chức năng routing giữa các Vlan.
Yêu cầu đặt ra:
Tạo 3 vlan cho 3 phòng ban, mỗi phòng ban là một subnet riêng.
vlan 10: Phòng Kỹ Thuật_interface vlan 10:172.25.20.1/24
vlan 12: Phòng Thiết Kế _interface vlan 13:172.25.27.1/24
vlan 13: Phòng Đồ Họa _interface vlan 12:172.25.23.1/24
Do yêu cầu về bảo mật các vlan này phải là những subnet riêng biệt, một host bất kì trong vlan này không được truy cập vào một host bất kì trong vlan khác.
tuy nhiên, khi sh ip route
C 172.25.20.0 is directly connected, Vlan10
C 172.25.23.0 is directly connected, Vlan13
C 172.25.27.0 is directly connected, Vlan12
chính vì kết nối trực tiếp, cho nên chẳng những các host trong một vlan thấy nhau, mà các host ở các vlan khác cũng có thể thấy nhau -> có vlan hay ko vlan cũng chẳng khác nhau.
chính vì vậy. Để đáp ứng yêu cầu trên. Ta dùng RACL hoặc VACL
--------------------------------------------------
Giải pháp
1. RACL
access-list 101 deny ip 172.25.23.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 101 deny ip 172.25.27.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 102 deny ip 172.25.20.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 102 deny ip 172.25.27.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 103 deny ip 172.25.20.0 0.0.0.255 172.25.27.0 0.0.0.255
access-list 103 deny ip 172.25.23.0 0.0.0.255 172.25.27.0 0.0.0.255
int vlan 10
ip access-group 101 in
int vlan 12
ip access-group 103 in
int vlan 13
ip access-group 102 in
2.VACL
access-list 101 permit ip 172.25.20.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 101 permit ip 172.25.27.0 0.0.0.255 172.25.27.0 0.0.0.255
access-list 101 permit ip 172.25.23.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 104 permit ip 172.25.0.0 0.0.255.255 172.25.0.0 0.0.255.255
access-list 105 permit ip any any
*vlan access-map temp 5
action forward
match ip address 101
vlan access-map temp 10
action drop
match ip address 104
vlan access-map temp 20
action forward
match ip address 105
vlan filter temp vlan-list 10 , 12 , 13
---------------------------------------------------------------
cả hai phuong pháp trên thực là [fade:03772d9971]không hay[/fade:03772d9971] chút nào, nếu Ta có khoảng 100 subnet thì sao??có thể làm bao nhiêu Access-list đẩy Cho dù Bạn có khả năng tính wildcard rất giỏi thì giải pháp trên thực sự chưa tối ưu.


chúc bạn vui vẻ.

Sao mình thấy deny không vậy. Ít nhất cho 1 cái permit đi! :D chứ nó ngầm định là cấm tất cả mà, đúng không nhỉ?