نمایش نتایج: از شماره 1 تا 8 از مجموع 8
سپاس ها 1سپاس

موضوع: مشکل در بلاک کردن InterVlan Routing

  
  1. #1
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5754
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20

    مشکل در بلاک کردن InterVlan Routing

    سلام
    من یه سری سوییچ اکسس 2960 و چند تا core 3750 دارم
    حدود 20 تا vlan هست که روی سوییچ core با استفاده از دستور ip routing با همدیگه ارتباط دارند

    میخوام دسترسی vlan ها به همدیگه رو بگیرم
    یعنی مثلا Vlan 11 که مالی ها هستند به vlan 5 که اداری ها هستند دسترسی نداشته باشند
    البته کل routing نباید غیر فعال بشه چون خیلی دسترسی ها به سمت vlan سرورهاست و برخی دیگه هم باید بهرحال برقرار باشند

    قبلا با جناب alafzalan صحبتهایی کردیم و به نتایجی رسیدم
    موارد رو توی شبیه ساز پیاده کردم و نتیجه هم گرفتم
    حالا رفتم روی خود شبکه و .. متاسفانه کار نمیکنه و مشکل دارم

    داستان از این قراره :رنج کاربرای شبکه داخلی بین 192.168.33.0 تا 192.168.50.0 هستش و رنج سرورها هم 172.16.0.0.
    خوب ! رفتم روی سوییچ Core و روی یکی از Int Vlan ها خواستم این قضیه رو تست کنم. مثلا روی وی لن اداری (45) نوشتم

    IP Access-List Extended DenyIVR
    10 Permit TCP IP Any 172.16.0.0 0.0.255.255 log

    حالا روی int vlan 45
    ip access-group DenyIVR IN

    اتفاقی که افتاده اینه که
    دسترسی کاربرای این وی لن به سرورها برقراره ! دسترسیشون به بقیه وی لن ها هم قطع شده ! دسترسی بقیه وی لن ها هم به اونها قطع شده اما دسترسی کاربرا به هم وی لنی های خودشون هم قطع شده (چه هم وی لنی ها شون تو سوییچهای طبقات مختلف و اکسس های مختلف و چه هم وی لنی هاشون تو همون سوییچ اکسس که هستند)

    مگر این قسمت قضیه نباید لایه 2 باشه و اصلا به سمت IVR و این حرفها نره ...
    یا من ACL رو اشتباه نوشتم !!

    شدیدا ممنون میشم دوستان راهنمایی بفرمایید






    موضوعات مشابه:





  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    سلام
    صرفنظر از ACL نوشته شده، کلاینتهای توی یک VLAN باید بتونن با هم دیگه در ارتباط باشند، مشکل جای دیگه هست. آیا بین کلاینتهای توی
    یک ping ، VLAN (قبل و بعد از قرار دادن ACL) دارید؟
    کانفیگ Core & Access رو بزارید.



  3. #3
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5754
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    صرفنظر از ACL نوشته شده، کلاینتهای توی یک VLAN باید بتونن با هم دیگه در ارتباط باشند، مشکل جای دیگه هست. آیا بین کلاینتهای توی
    یک ping ، VLAN (قبل و بعد از قرار دادن ACL) دارید؟
    کانفیگ Core & Access رو بزارید.
    سلام
    بله قبلش پینگ رو دارم
    به محض Apply کردن اکسس لیست پینگ قطع میشه و به محض اینکه اکسس لیست رو برمیدارم دوباره برقرار میشه
    بخشی از کانفیگ رو که فکر میکنم کمک میکنه میذارم
    راستش به دلایلی نمیتونم همش رو بذارم
    ولی فکر کنم همین قدر کفایت میکنه

    version 12.2
    no service pad
    service timestamps debug datetime msec
    service timestamps log datetime msec
    service password-encryption
    !
    hostname SW-CORE
    !
    boot-start-marker
    boot-end-marker
    !
    enable secret 5 $1$C0DF$rc5lJi0EWhbCNqbcDClmR0
    !
    username Admin secret 5 $1$ntlU$x6HU13wSoh7dQ6hF3ru5o/
    aaa new-model
    !
    !
    aaa authentication login default local
    aaa authorization exec default local
    !
    !
    !
    aaa session-id common
    switch 1 provision ws-c3750g-12s
    switch 2 provision ws-c3750g-12s
    switch 3 provision ws-c3750g-12s
    switch 4 provision ws-c3750g-12s
    system mtu routing 1500
    ip subnet-zero
    ip routing
    no ip domain-lookup
    ip domain-name Cisco.com

    spanning-tree mode pvst
    spanning-tree etherchannel guard misconfig
    spanning-tree extend system-id
    !
    vlan internal allocation policy ascending
    !
    ip ssh version 2
    !
    !
    !
    interface Port-channel1
    speed 1000
    !
    interface Port-channel2
    switchport trunk encapsulation dot1q
    switchport trunk native vlan 900
    switchport trunk allowed vlan 1-899,901-4094
    switchport mode trunk
    switchport nonegotiate
    !
    interface Port-channel3
    switchport trunk encapsulation dot1q
    switchport trunk native vlan 900
    switchport trunk allowed vlan 1-899,901-4094
    switchport mode trunk
    switchport nonegotiate
    speed nonegotiate
    duplex full
    !
    بقیه etherchannel ها هم هستند که دیگه صرفنظر کردم


    interface Vlan1
    no ip address
    !
    interface Vlan101
    ip address 192.168.33.1 255.255.255.0

    !
    interface Vlan102
    ip address 192.168.34.1 255.255.255.0

    !
    interface Vlan103
    ip address 192.168.35.1 255.255.255.0

    interface Vlan150
    ip address 172.16.0.1 255.255.0.0
    سرورها

    interface Vlan101
    ip access-group DenyIVR in
    !
    ip classless
    !
    !
    ip access-list extended DenyIVR
    permit tcp any 172.16.0.0 0.0.255.255



  4. #4
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5754
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    راستی جناب afzalan شما قبلا این راهنمایی رو فرموده بودید

    VLAN 5: 192.168.5.X
    VLAN 11: 192.168.11.X

    ip access-list extended test
    deny ip any 192.168.11.0 0.0.0.255
    permit ip any any

    int vlan 5
    ip access-group test in

    آیا مهمه که اول deny رو بنویسیم و بعد یک permit ip any anyتهش اضافه کنیم
    یا فرقی نمیکنه با حالتی که permit به سمت سرورها رو بنویسیم و ته لیست هم که خود به خود همه چیز deny میشه



  5. #5
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    سلام
    در مورد ACL بالا، فرقی نمیکنه - شما اول permit رو بنویس، آخر ACL هم که deny هست پس بقیه پکتها drop میشن.
    کانفیگ سوئیچ Access رو هم بزارید، احتمالا مشکل از اونجا باشه.
    خیلی عجیبه که حتی پورتهای متعلق به یک VLAN توی یک سوئیچ هم نمیتونن همدیگه رو Ping کنند


    th95 سپاسگزاری کرده است.

  6. #6
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5754
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    سلام
    در مورد ACL بالا، فرقی نمیکنه - شما اول permit رو بنویس، آخر ACL هم که deny هست پس بقیه پکتها drop میشن.
    کانفیگ سوئیچ Access رو هم بزارید، احتمالا مشکل از اونجا باشه.
    خیلی عجیبه که حتی پورتهای متعلق به یک VLAN توی یک سوئیچ هم نمیتونن همدیگه رو Ping کنند
    سلام
    کانفیگ سوییچ اکسس هیچ چیز خاصی نداره
    دو تا پورت ترانک شدن به سمت Core (با etherchannel)
    یه تعداد هم کلاینت داریم که توی وی لن های مربوطه هستند
    ضمنا همه سوییچها VTP Master هستند


    خدمتتون عرض کردم
    کلاینتهایی که من تست کردم توی دو تا سوییچ اکسس مختلف ولی خوب توی یه وی لن بودند
    فردا همین قضیه رو در مورد هم وی لنی ها توی یه سوییچ اکسس تست میکنم (که البته این مطلوب من نیست و اگر هم درست باشه کمکی به من نمیکنه)
    از روی کانفیگها نکته خاصی به نظرتون نمیرسیه







  7. #7
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2556
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    (چه هم وی لنی ها شون تو سوییچهای طبقات مختلف و اکسس های مختلف و چه هم وی لنی هاشون تو همون سوییچ اکسس که هستند)
    شما خودتون نوشتید توی یک سوئیچ هم نمیتونن همدیگه رو ping کنند، برای همین من تعجب کردم !
    من همین سناریو رو توی شرکت انجام دادم و داره کار میکنه (البته Etherchannel نداریم و VTP داریم)
    فردا که تست کردید نتیجه رو بنویسید.
    اگه تونستید یه تست انجام بدید، یک پورت روی سوئیچ Core رو عضو همین VLAN کنید، ببینید اون ping میشه.


    ویرایش توسط aliafzalan : 2010-04-17 در ساعت 10:35 PM

  8. #8
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5754
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    ممنون میشم اینجا ادامه بحث رو ببینید
    نتایج تست رو اینجا نوشتم


    مشکلات من با اکسس لیست همچنان ادامه دارد



کلمات کلیدی در جستجوها:

inter vlan routing چیست

inter vlan routing چیست؟

دادن ip به 2960

ip routing در سوئیچ

intervlan routingچیست

چیست؟inter vlan routing

فعال کردن روتینگ در سوئیچ 3750

intervlan routing چیست؟

فعال کردن ip routing روی vlan

intervlan routing چیست

intervlan routing چيست

Inter Vlan Routing]dsj

switch 1 provision دستورات سیسکو

بلاک شدن وی لن

فعال کردن ip routing در سوئیچ

spanning-tree etherchannel guard misconfig که

switch 1 provision ws-c3750g-12s که

ip دادن به سوئیچ cisco 2960

intervlan routing on cisco 3750

ip routing سوئیچ

سیسکو غیر فعال کردن route inter vlan

دسترسي دادن به يك vlan

دسترسی به 192.168.11

تخصیص vlan extended به vtp

فعال کردن attachmentدر ایمیل yahoo

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •