mình có 1 bài lab như thế này. mong giúp đở
http://www.uploadanh.com/upload/0/50/0.767974001239587109.jpg


+ Switch dùng là 3550
+ Tất cả PC đều thuộc Vlan 10
+ PC1 truy cập (all traffic) tới server nhưng không truy cập PC2 PC3 được.
+ PC2, PC3 truy cập lẫn nhau và truy cập tới server được, nhưng không truy cập được PC1
+ Server truy cập được PC1,PC2,PC3

bài này dùng standard access list phải ko? command line như thế nào.mong giúp đở.
thanks

Vì Standard ACL chỉ xét IP source do đó bạn không thể làm được. Cho nên ta phải dùng Extend ACL cho bài này. Port 1,2,3 và 24 tương ứng với các PC trong hình. Chú ý nữa là vì SW cần xem thông tin về IP nên nó phải là SW layer3.

vlan access-map class-map 10
action drop
match ip address 100
vlan access-map class-map 20
action drop
match ip address 101
vlan access-map class-map 30
action drop
match ip address 102
vlan access-map class-map 100
action forward
!
vlan filter class-map vlan-list 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 10
switchport mode access

!
interface FastEthernet0/24
switchport access vlan 10
switchport mode access

!
access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
access-list 102 permit ip host 192.168.1.3 192.168.1.0 0.0.0.255

thanks pác logmeinvietnam nhieu. vậy phải dùng Switch bao nhiêu, 6500 được không pác.

SW 6500 tất nhiên là được !!!

chi kiem duoc SW 35000 thoi. khong biet co duoc hok may pac

thanks pác logmeinvietnam nhieu. vậy phải dùng Switch bao nhiêu, 6500 được không pác.

SW dòng layer 3. 3000 seri là chạy được rồi, miễn có chức năng layer 3.
Vd: 3550, 3560, nếu lớn hơn thì quá tốt. Mà Packet tracer làm không có lệnh đâu.

Bạn có thể lấy file mình đưa copy thẳng vào conf t là nó chạy à.

VLAN Access Control Lists
VACLs are available on the Catalyst 6000 series running CatOS 5.3 or later.

VACLs can be configured on a Catalyst 6500 at L2 without the need for a router (you only need a Policy Feature Card (PFC) ). They are enforced at wire speed so there is no performance penalty in configuring VACLs on a Catalyst 6500. Since the lookup of VACLs is performed in hardware, regardless of the size of the access list, the forwarding rate remains unchanged.

access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255

anh logmeinvietnam giai thich them dum em.
tai sao
.1 truy cap duoc .254 lai la deny .....
.1 ko truy cap duoc cac host con lai ma permit.......

vlan access-map class-map 10
action drop
match ip address 100
vlan access-map class-map 20
action drop
match ip address 101
vlan access-map class-map 30
action drop
match ip address 102
vlan access-map class-map 100
action forward
!
vlan filter class-map vlan-list 10
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 10
switchport mode access

!
interface FastEthernet0/24
switchport access vlan 10
switchport mode access

!
access-list 100 deny ip host 192.168.1.1 host 192.168.1.254
access-list 100 permit ip host 192.168.1.1 192.168.1.0 0.0.0.255
access-list 101 deny ip host 192.168.1.2 host 192.168.1.3
access-list 101 deny ip host 192.168.1.2 host 192.168.1.254
access-list 101 permit ip host 192.168.1.2 192.168.1.0 0.0.0.255
access-list 102 deny ip host 192.168.1.3 host 192.168.1.2
access-list 102 deny ip host 192.168.1.3 host 192.168.1.254
access-list 102 permit ip host 192.168.1.3 192.168.1.0 0.0.0.255 __________________
Email: phamminhtuan@wimaxpro.org

Viet Professionals Co. Ltd. VnPro ®






SW dòng layer 3. 3000 seri là chạy được rồi, miễn có chức năng layer 3.
Vd: 3550, 3560, nếu lớn hơn thì quá tốt. Mà Packet tracer làm không có lệnh đâu.

Bạn có thể lấy file mình đưa copy thẳng vào conf t là nó chạy à. em lam giong nhu anh logmeinvietnam nhung khi hoan tat. ket qua nhu sau

PC1 ko ping thay cac PC con lai
PC2 ko ping thay cac PC con lai
PC3 ko ping thay cac PC con lai
Server ko ping thay cac pc con lai

botay luon.
ko biet co nham lan gi ko.

@nguyenhuutien: bạn xem lại phần lý thuyết, trong ngữ cảnh này permit và deny không còn ý nghĩa là cho phép hay cấm mà là quan tâm hay không quan tâm.
Theo quan điểm của anh logmeinvietnam là deny cái 254 để nó rớt xuống cái access-map cuối cùng, kết quả là nó được forward. Bạn có thể làm ngược lại quan điểm này.

em lam giong nhu anh logmeinvietnam nhung khi hoan tat. ket qua nhu sau

PC1 ko ping thay cac PC con lai
PC2 ko ping thay cac PC con lai
PC3 ko ping thay cac PC con lai
Server ko ping thay cac pc con lai

botay luon.
ko biet co nham lan gi ko.

- Có tạo vlan 10 hay chưa?
- Bạn có cắm 4 máy trên vào 4 port 1,2,3,24 không?
- Trên 4 PC ping -t lẫn nhau -> save cấu hình lại -> reboot sw lại.
Cấu hình đúng không sai đâu.

@nguyenhuutien: bạn xem lại phần lý thuyết, trong ngữ cảnh này permit và deny không còn ý nghĩa là cho phép hay cấm mà là quan tâm hay không quan tâm.
Theo quan điểm của anh logmeinvietnam là deny cái 254 để nó rớt xuống cái access-map cuối cùng, kết quả là nó được forward. Bạn có thể làm ngược lại quan điểm này.

ok thanks hieu oy. vay cua anh logmein chi vaay la ok rui dung voi yeu cau bai lab roi phai hok may pac. de em troubleshoot xem bi loi gi ma van chua chay.
thanks for help