بستن چند پروتکل بر روی یک پورت خاص سوئئیچ

**sahar_gol** · 2011-03-28, 02:44 PM

سلام
اساتید گرامی بنده قصد دارم یه سوئیچ قابل کانفیگ رو جوری کانفیگ کنم که سیستمی به پورت fast ethernet 0/2 وصل هست نتونه سایتی باز کنه ( پورت 80 روی پورت شماره 2 سوئیچ در دسترس نباشه )

تحقیقات تقریباً خوبی انجام دادم و به جاهایی هم رسیدم.

مثلاً اینو میدونم که باید از extended access list استفاده کنم و حتی فهمیدم که دستورش رو چجوری بنویسم.
میتونم یه access list با اسم دلخواه درست کنم و پورت مورد نظرم رو ببندم. اماا نمیدونم چجوری این access list رو به یک پورت خاص سوئیچ نسیت بدم.

دو راه رفتم کمی گیج شدم .
1- پورت مورد نظر رو بزارم توی یک vlan
2- با دستور no switchport پورت مورد نظر رو تغییر حالت بدم.

که خوب بقیه مراحل رو قاطی کردم کلاً.

لطفاً راهنماییم کنید.
تشکر

موضوعات مشابه:

**Moghaddas** · 2011-03-29, 01:17 AM

بستگی به توپولوژی شبکتون داره که پورت رو ببرین توی VLAN یا از حالت Roted-port استفاده کنین. اما برای apply کردن ACL:
interface (vlan/fas0/2)
ip access-group (ACL) out

**SADEGH65** · 2011-03-29, 06:50 AM

با تشک از جناب مقدس باید این نکته را مد نظر قرار داد که تعریف و اعمال محدودیت بر روی پروتکل های لایه 3 ( در اینجا TCP ) حتما باید از سوییچ لایه 3 استفاده نمود - البته دستور No switchport نیز فقد در سوییچ لایه 3 ممکن است .
در صورت زدن دستور بالا شما از این پورت به عنوان یک پورت در حالت روتینگ استفاده میکنید و باید به آن IP بدهید و یا اینکه این پورت را در یک vLAN قرار داده و بر روی آن Vlan اکسس لیست بنویسید.

**A.Yazdani** · 2011-03-29, 05:20 PM

با سلام
لازم نیست حتمآ سوییچ لایه 3 باشد !!!!

سوییچ های لایه 2 درسته که لایه 2 هستند اما به این معنی نیست که نتونه tcp رو بفهمه این دوست ما راحت میتونه یه
ACL بنویسه و بعد قرارش بده روی in در fa0/2

**SADEGH65** · 2011-03-29, 08:36 PM

نوشته اصلی توسط poker

با سلام
لازم نیست حتمآ سوییچ لایه 3 باشد !!!!

فرمایش شما کاملا صحیح است و اشتباه از من بود و من تا به حال این مورد را تست نکرده بودم

**aliafzalan** · 2011-03-30, 10:06 AM

سلام
یک فرق کوچک (و البته شاید هم بزرگ! چون یکبار بدجوری کارم را لنگ کرد) اینه که روی پورت لایه دو، ACL را میشه فقط در جهت in اینترفیس نوشت و نه out.
البته مشکل دوستمون با قرار دادن ACL روی ورودی پورت حل میشه.

**sahar_gol** · 2011-04-02, 06:36 PM

سلام
ببخشید من این مدت مسافرت بودم.
ممنون از همه کمک ها و راهنمایی هایی که میکنید.

interface fas0/2
ip access-group 102 out

اینو نوشتم جواب نداد.
زیر حرف اول ip ارور میزاره.

الان دارم تو packet tracer نسخه 5.2 آزمایش میکنم.
با سوئیچ 2960 و 3560 هردو تست کردم نشد.

**Moghaddas** · 2011-04-02, 06:41 PM

Packet Tracer این دستورات رو ساپورت نمیکنه. باید روی سوئیچ واقع انجام بدین

**aliafzalan** · 2011-04-02, 06:51 PM

همونطور که آقای مقدس گفتند روی packet tracer حساب نکنید.
ولی روی 2960 و 3560 جواب میده.
در ضمن ACL را هم باید روی in بنویسید و نه out
deny tcp any any eq 80
permit ip any any

**sahar_gol** · 2011-04-02, 07:13 PM

ممنون
با عرض پوزش میگم احتمالاً اشتباه میکنید.
الان دستورات زیر رو نوشتم و جواب داد.
access-list 102 deny tcp any any
int fas0/2
no switchport
ip access-group 102 out

من روی 3560 اجرا کردم شد و روی 2960 نشد.

فقط دو نکته برام سوال داره
اول اینکه چجوری یه acl رو ویرایش کنم
و دوم اینکه چجوری acl رو بنویسم که یه پورت خاص نرم افزاری بسته بشه. مثلاً ننویسم tcp ، بتونم پورت به فرض مثال 21 یا 95 رو ببندم.

با تشکر

**Moghaddas** · 2011-04-02, 07:16 PM

بله درسته. علت اینکه جناب فضلان و بنده گفتیم نمیشه چون این نرم افزار باگ زیاد داره و از ccna به بعد 80% کامندهای مورد نیاز رو ساپورت نمیکنه. گاهی هم یکاری رو که نباید انجام بده خودش انجام میده

روی 2960 به علت اینکه پورتها فقط در لایه2 کار میکنن.
باید در ACL از eq استفاده کنید

**sahar_gol** · 2011-04-02, 07:25 PM

پیشنهاد شما برای شبیه ساز چیه ؟
اگه ممکنه یه منبع آموزشی هم برای شبیه سازی که معرفی میکنید بفرمایید.

اگه من از eq استفاده کنم میتونم پورت عددی مورد نظرم رو ببندم ؟ حتی اگه سوئیچ لایه 3 باشه بازم میشه ؟

**Moghaddas** · 2011-04-02, 07:30 PM

متاسفانه برای سوئیچ هیچ شبیه سازی بهتر از Packet Tracer هنوز ساخته نشده اما برای روتر از GNS3 میتونین استفاده کنین که آمورش هم توی همین فروم زیاده و فقط کافیه یک سرچ بکنین.

با استفاده از tcp و پس از مشخص کردن آدرس و wildcard با استفاده از eq میتونین دقیقا روی یک پورت رو ببندین. اگه ? بزنین گزینه های دیگه ای هم وجود داره مثل range یا ge یا le که میتونین یک رنج یا پورتهای بزرگنر/کوچکتر مساوی یک پورت رو حتی مشخص کنین

**th95** · 2011-04-02, 07:36 PM

حتی اگه سوئیچ لایه 3 باشه بازم میشه ؟

؟؟؟؟؟؟؟؟؟؟

این چیکار به بحث داشت
شما با eq، neq gt و .. همه کار میتونی بکنی

**aliafzalan** · 2011-04-02, 07:57 PM

نوشته اصلی توسط sahar_gol

ممنون
با عرض پوزش میگم احتمالاً اشتباه میکنید.
الان دستورات زیر رو نوشتم و جواب داد.
access-list 102 deny tcp any any
int fas0/2
no switchport
ip access-group 102 out

من روی 3560 اجرا کردم شد و روی 2960 نشد.

بله، این دستورات روی 3560 جواب میده ولی روی 2960 کار نمیکنه.
دلیل اینکه روی 3560 هم جواب داده اینه که شما پورت را لایه 3 کانفیگ کردید (no switchport)، ولی اگر که پورت لایه 2 بود این acl جواب نمیداد، چون توی پورت لایه 2 نمیشه acl رو روی خروجی قرار داد.
حالا صرفنظر از همه این موارد باز بهتره که شما ACL را روی ورودی بنویسید.
چرا؟ چون اگه روی خروجی پورت باشه، ترافیک کاربر تا اینترنت میره و بعد موقع برگشتن جلوش گرفته میشه.
ولی اگر که acl روی in باشه، همون اول جلوش گرفته میشه و اصلا ترافیک از سوییچ خارج هم نمیشه.

موضوع: بستن چند پروتکل بر روی یک پورت خاص سوئئیچ

پیوند

ابزارهای موضوع

نمایش

بستن چند پروتکل بر روی یک پورت خاص سوئئیچ

کلمات کلیدی در جستجوها:

محدودیت روی vlan

access list extended چند پروتکل

پروتوکول های rotable

بستن پورت TELNET با استفاده از یک ACCESS LIST EXTENDED

بستن چند پورت روی سیسکو

دستور بستن پورت icmp در cissco

بستن telnet با acl

کانفیک سوئیچ 2960 دستور reng

دستور no switch port

آموزش بستن پورت tellnet

دادن ip gig به سوئیچ 2960

بستن پورت سوئیچ 2960

بستن پورت سوئیچ

بستن پورت ها در سیسکو

بستن پورت از طریق access list

روتر 3560 لایه چند؟

بستن پورت روي سوييچ cisco

نحوه نوشتن access list بر روی سوئیچ

دلیل بستن پروتکل ها

طریقه بستن vlan سوئیچ

ﺑﺴﺘﻦ پورت سوئیچ

قرار دادن اکسس لیست بر روی اترنت

آموزش access list extended در gns3

دستور سیسکو نمایش پورت باز در اکسس لیست

محدودیت اینترنت در سوئیچ2960

برچسب برای این موضوع

مجوز های ارسال و ویرایش