نمایش نتایج: از شماره 1 تا 14 از مجموع 14
سپاس ها 12سپاس
  • 2 توسط alisc
  • 1 توسط paravand20
  • 2 توسط alisc
  • 2 توسط net_adm
  • 1 توسط alisc
  • 1 توسط paravand20
  • 3 توسط A.Yazdani

موضوع: چگونگی تنظیم ACL در سوئیچ لایه 3

  
  1. #1
    نام حقيقي: محمد

    تازه وارد
    تاریخ عضویت
    Sep 2013
    محل سکونت
    اصفهان
    نوشته
    6
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    6

    چگونگی تنظیم ACL در سوئیچ لایه 3

    سلام
    من میخوام access-list روی سوئیچ لایه 3 تنظیم کنم. برای تنظیم ACL باید VLAN داشته باشم؟ بعد این VLANها رو چه طوری IP بدم؟یعنی میتونن هم دیگه رو ping کنن؟ ممکنه یه نفر یه توضیح کامل بده....دقیق نمیدونم باید چیکار کنم!




    موضوعات مشابه:





  2. #2
    نام حقيقي: علی شفائی

    عضو عادی شناسه تصویری alisc
    تاریخ عضویت
    Sep 2010
    محل سکونت
    شهریار
    نوشته
    1,812
    سپاسگزاری شده
    1651
    سپاسگزاری کرده
    2002
    با سلام
    ابتدا ورودتون رو به انجمن خوش آمد میگم


    نقل قول نوشته اصلی توسط mahmata نمایش پست ها
    من میخوام access-list روی سوئیچ لایه 3 تنظیم کنم. برای تنظیم ACL باید VLAN داشته باشم؟
    این دو رو با هم قاطی نکنید !
    ACL یک مبحث هست !
    Vlan بندی یک مبحث دیگه !

    بستگی داره به سناریو شما !

    نقل قول نوشته اصلی توسط mahmata نمایش پست ها
    بعد این VLANها رو چه طوری IP بدم؟
    با دستور زیر میتونید به هر Vlan مد نظر IP بدید :

    کد:
    interface vlan 100
    ip address 192.168.1.1 255.255.255.0
    فقط کافیه به جای 100 شماره Vlan مورد نظر رو وارد کنید !


    نقل قول نوشته اصلی توسط mahmata نمایش پست ها
    یعنی میتونن هم دیگه رو ping کنن؟
    هیچ Vlan به Vlan دیگه Ping نداره ! حتی اگر در یک رنج باشن !
    هر Vlan یک Broadcast Domain جداگانه است !

    برای اینکه Vlan ها بتونن همدیگه رو ببینن باید یک روتر بزارید و عملیات Inter Vlan Routing یا همون Router on Stick انجام بدید

    نقل قول نوشته اصلی توسط mahmata نمایش پست ها
    ممکنه یه نفر یه توضیح کامل بده....دقیق نمیدونم باید چیکار کنم!
    دقیقا سناریوتون رو بگید چیه ؟
    اگه میشه یک تصویر از سناریو بزارید


    greatcyrus و mahmata سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: محمد

    تازه وارد
    تاریخ عضویت
    Sep 2013
    محل سکونت
    اصفهان
    نوشته
    6
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    6
    خیلی ممنون

    ببینید من سناریو خاصی ندارم فقط دارم تنظیمات سوئیچ لایه 3 رو مطالعه میکنم. میخواستم access-list رو کار کنم. یه کم گیج شدم توش. الان شما به من بگین چیکار کنم
    توی packet tracer دارم امتحان میکنم!



  4. #4
    نام حقيقي: محمد

    تازه وارد
    تاریخ عضویت
    Sep 2013
    محل سکونت
    اصفهان
    نوشته
    6
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    6
    خواهشا اگه کسی میتونه راهنماییم کنه. نیاز فوری دارم که این مبحث رو یاد بگیرم ولی مطالبی که تو اینترنت میخونم باعث شده که سر در گم بشم!



  5. #5
    نام حقيقي: kaRim ParaVand

    عضو ویژه شناسه تصویری paravand20
    تاریخ عضویت
    Nov 2010
    محل سکونت
    Busher
    نوشته
    1,324
    سپاسگزاری شده
    1226
    سپاسگزاری کرده
    785
    نوشته های وبلاگ
    1

    Icon10

    مشکلت چیه برادر !!!

    روی سویچ این کامند رو بزن
    کد:
    (config)#interface fa 0/1
    (config)#no switchport
    (config)#ip address 172.12.10.1 255.255.255.0
    (config)#ip access-group 1 in/out

    برای نوشتن یک اکسس لیست هم که پینگ رو برای یک رنج مثلا 172.12.0.0 اینجوری بنویس
    کد:
    access list 105 deny icmp  172.12.0.0 0.0.255.255 any

    اما یادت باشه شما فقط می تونی توی سویچ لایه دوم اکسس لیستت رو توی حالت in بزاری
    دیگه پیدا کردن دلیلیش باشه برای سرچ کردن خودتون


    mahmata سپاسگزاری کرده است.

  6. #6
    نام حقيقي: علی شفائی

    عضو عادی شناسه تصویری alisc
    تاریخ عضویت
    Sep 2010
    محل سکونت
    شهریار
    نوشته
    1,812
    سپاسگزاری شده
    1651
    سپاسگزاری کرده
    2002
    این هم یک سناریو :


    Standard Access List Scenario Lab 1



    Description: Configure standard access-list according to a given set of conditions.
    Instructions:
    1. Hosts on Router R3 should not be able to access hosts on R2.

    2. Only WS11 on R1 can access hosts on R2.

    3. All other communication is allowed. Use standard access lists with ACL #1.

    4. Apply the access-list#1 on serial interfaces s0 and s1.

    R2>enable
    R2#configure terminal
    R2(config)#access-list 10 deny 10.3.1.0 0.0.0.255
    R2(config)#access-list 10 permit host 10.1.1.2
    R2(config)#access-list 10 deny 10.1.1.0 0.0.0.255
    R2(config)#access-list 10 permit any
    R2(config)#interface serial 0
    R2(config-if)#ip access-group 1 in
    R2(config-if)#exit
    R2(config)#interface serial 1
    R2(config-if)#ip access-group 1 in
    R2(config-if)#exit



    منبع : Network simulator: Standard Access List Scenario Lab 1

    - - - ادامه - - -

    این هم یک سناریو دیگه :


    Standard Access List Scenario Lab 2

    Description: Configure a standard access-list according to a given set of conditions.
    Instructions:
    1. Hosts on R1 should not be able to communicate with hosts on R3 e0.
    2. Host W32 on R3 can communicate only with other hosts on R3 e0.
    3. Hosts on R1 should be able to communicate with hosts on R2 e0.

    R3>enable
    R3#configure terminal
    R3(config)#access-list 30 deny 10.1.1.0 0.0.0.255
    R3(config)#access-list 30 deny host 10.3.1.3
    R3(config)#access-list 30 deny any

    R2>enable
    R2#configure terminal
    R2(config)#access-list 20 permit 10.1.1.0 0.0.0.255
    R2(config)#access-list 20 deny any

    منبع : http://routersimulator.certexams.com...rio-lab-2.html


    87422117 و mahmata سپاسگزاری کرده‌اند.





  7. #7
    نام حقيقي: محمد

    تازه وارد
    تاریخ عضویت
    Sep 2013
    محل سکونت
    اصفهان
    نوشته
    6
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    6
    ایول تازه فهمیدم باید چیکار کنم
    خیلی ممنون دوستان



  8. #8
    نام حقيقي: بي كلام

    خواننده شناسه تصویری net_adm
    تاریخ عضویت
    Feb 2010
    محل سکونت
    iran
    نوشته
    150
    سپاسگزاری شده
    22
    سپاسگزاری کرده
    58
    سلام

    براي اينكه vlan ها همديگر رو ببينند نياز به روتر ندارند چون سوييچ لايه 3 هست برادر جان .


    alisc و mahmata سپاسگزاری کرده‌اند.
    در کودکي بازي، در جواني مستي، در پيري سستي، پس کي خدا را جُستي؟

  9. #9
    نام حقيقي: علی شفائی

    عضو عادی شناسه تصویری alisc
    تاریخ عضویت
    Sep 2010
    محل سکونت
    شهریار
    نوشته
    1,812
    سپاسگزاری شده
    1651
    سپاسگزاری کرده
    2002
    نقل قول نوشته اصلی توسط net_adm نمایش پست ها
    سلام

    براي اينكه vlan ها همديگر رو ببينند نياز به روتر ندارند چون سوييچ لايه 3 هست برادر جان .
    بله ، برای سوئیچ لایه 3 نیازی نیست روتر قرار بدن !
    فقط برای سوئیچ لایه 2 روتر نیاز هست !

    این هم آموزش مسیریابی برای سوئیچ لایه 3 :


    intervlan routing is a must have for businesses that have more then 1 vlan that want the end devices to be able to talk between the vlans.
    Here is one way of doing intervlan routing called layer 3 switching
    The requirements for layer 3 switching is haveing a switch that is capable of doing layer 3 switching(need to be able to make SVI, Switched Virtual interfaces, more commonly known as vlan interfaces.)
    in my setup i have 1 cisco 3550 switch with the EMS IOS image and 2 routers as labled below.
    L3S will be the layer 3 switch
    R1 will be a client on vlan 10
    R2 will be a client on vlan 20

    1. R1

    R1(config)#interface e0
    R1(config-if)#ip address 10.0.10.1 255.255.255.0
    R1(config-if)#no shutdown
    R1(config-if)#exit
    R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.10.254
    Simple enough set-up add the client to the subnet that is assigned to the vlan.
    Then give the router a default gateway on this vlan it will be 10.0.10.254
    Next stop R2
    2. R2

    R2(config-line)#interface e0
    R2(config-if)#ip address 10.0.20.1 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#exit
    R2(config)#ip route 0.0.0.0 0.0.0.0 10.0.20.254
    Again simple enough set-up add the client to the subnet that is assigned to the vlan.
    Then give the router a default gateway on this vlan it will be 10.0.20.254
    Next stop L3S
    3. L3S

    L3S
    L3S(config)#vlan 10
    L3S(config-vlan)#exit
    L3S(config)#vlan 20
    L3S(config-vlan)#exit
    !- -vlans 10 and 20 have been created. for this demo i did not give them a description. you can use the description command to give it one.- -!
    L3S(config)#interface fa0/1
    L3S(config-if)#switchport mode access
    L3S(config-if)#switchport access vlan 10
    L3S(config-if)#no shutdown
    L3S(config-if)#exit
    !- -R1 had been plugged interfaceo FA0/1. It has been set as an access port and assigned to vlan 10- -!
    L3S(config)#interface fa0/2
    L3S(config-if)#switchport mode access
    L3S(config-if)#switchport access vlan 20
    L3S(config-if)#exit
    !- -R2 had been plugged interfaceo FA0/2. It has been set as an access port and assigned to vlan 20- -!
    L3S(config)#interface vlan 10
    L3S(config-if)#no shutdown
    L3S(config-if)#ip address 10.0.10.254 255.255.255.0
    L3S(config-if)#exit
    !- -R2 had been plugged interface FA0/2. It has been set as an access port and assigned to vlan 20- -!
    L3S(config)#interface vlan 10
    L3S(config-if)#no shutdown
    L3S(config-if)#ip address 10.0.10.254 255.255.255.0
    L3S(config-if)#exit
    !- -Create the SVI interface for vlan 10 and set an ip address- -!
    L3S(config)#interface vlan 20
    L3S(config-if)#ip address 10.0.20.254 255.255.255.0
    L3S(config-if)#no shutdown
    L3S(config-if)#exit
    !- -Create the SVI interface for vlan 20 and set an ip address- -!
    L3S(config)#ip routing
    !- -Enable layer 3 routing on this switch- -!
    Now for the fun part, testing.
    4. The ping test

    From R1 I pinged R2
    R1#ping 10.0.20.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.0.20.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms
    R1#
    Now the ping from R2 to R1
    R2#ping 10.0.10.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.0.10.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/8 ms
    R2#




    ویرایش توسط alisc : 2013-09-22 در ساعت 02:40 PM
    mahmata سپاسگزاری کرده است.

  10. #10
    نام حقيقي: kaRim ParaVand

    عضو ویژه شناسه تصویری paravand20
    تاریخ عضویت
    Nov 2010
    محل سکونت
    Busher
    نوشته
    1,324
    سپاسگزاری شده
    1226
    سپاسگزاری کرده
    785
    نوشته های وبلاگ
    1
    یکسری از ios برای سویچ 2960 هست که 10 یا بیشتر روت رو ساپورت می کنه می تونید از اون هم استفاده بفرمایید


    mahmata سپاسگزاری کرده است.

  11. #11
    نام حقيقي: مریم محمدی

    تازه وارد
    تاریخ عضویت
    Sep 2012
    محل سکونت
    اصفهان
    نوشته
    2
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    سلام دوستان
    یه مشکلی توی تنظیم ACL پیدا کردم.اگه ممکنه راهنماییم کنید.

    یه سوئیچ 3560 دارم که 2 تا کامپیوتر با آدرس 10.1.6.1 و 10.1.2.1 و یه VLAN2 دارم که توی اون هم 2 تا کامپیوتر با آدرس شبکه 10.1.1.0 دارم.میخوام کامپیوترای 10.1.6.1 و 10.1.2.1 به کامپیوترای شبکه 10.1.1.0 دسترسی داشته باشند ولی اون شبکه به اون 2 تا کامپیوتر دسترسی نداشته باشه.دستور زیر رو اجرا کردم ولی کامپیوترا نمیتونند شبکه رو ping کنند. access-list رو توی اینترفیس متصل به شبکه وارد کردم ولی نمیدونم کجاش اشتباس؟


    interface FastEthernet0/1
    no switchport
    ip address 10.1.1.2 255.255.255.192
    ip access-group 1 in
    duplex auto
    speed auto
    !
    interface FastEthernet0/2
    no switchport
    ip address 10.1.2.2 255.255.255.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/3
    no switchport
    ip address 10.1.6.2 255.255.254.0
    duplex auto
    speed auto
    !
    interface FastEthernet0/4
    switchport access vlan 2
    !
    interface FastEthernet0/5
    !
    interface FastEthernet0/6
    !
    interface FastEthernet0/7
    !
    interface FastEthernet0/8
    !
    interface FastEthernet0/9
    !
    interface FastEthernet0/10
    !
    interface FastEthernet0/11
    !
    interface FastEthernet0/12
    !
    interface FastEthernet0/13
    !
    interface FastEthernet0/14
    !
    interface FastEthernet0/15
    !
    interface FastEthernet0/16
    !
    interface FastEthernet0/17
    !
    interface FastEthernet0/18
    !
    interface FastEthernet0/19
    !
    interface FastEthernet0/20
    !
    interface FastEthernet0/21
    !
    interface FastEthernet0/22
    !
    interface FastEthernet0/23
    !
    interface FastEthernet0/24
    !
    interface GigabitEthernet0/1
    !
    interface GigabitEthernet0/2
    !
    interface Vlan1
    no ip address
    shutdown
    !
    router ospf 1
    log-adjacency-changes
    network 10.1.1.0 0.0.0.63 area 0
    network 10.1.2.0 0.0.0.255 area 0
    network 10.1.6.0 0.0.1.255 area 0
    !
    router rip
    !
    ip classless
    !
    !
    access-list 1 deny 10.1.1.0 0.0.0.255
    access-list 1 permit any


    ویرایش توسط maryam it : 2013-09-27 در ساعت 10:20 PM

  12. #12
    نام حقيقي: احمد یزدانی (Poker)

    عضو ویژه شناسه تصویری A.Yazdani
    تاریخ عضویت
    Aug 2010
    محل سکونت
    Isfahan
    نوشته
    945
    سپاسگزاری شده
    1310
    سپاسگزاری کرده
    414
    نوشته های وبلاگ
    8
    دوست عزیز این چیزی که شما می خواهین عملی نیست .


    عملکرد ping به چه صورت هست ؟مثلا PC4 قصد ping کردن pc1 رو داره درخواست ICMP از L3 Switch عبور می کنه و می رسه به pc1 حالا pc1 می یاد که جواب بده ACL شما روی اینترفیس متصل به VLAN جلوشونو میگیره و pc4 هیچ جوابی نمیگیره .

    این چیزی که شما می خواین در این در این سناریو نشدنیه . من نمونش رو با ASA دیدم که به وسیله stateful inspection خودکار مسیر برگش رو باز می کنه .


    alisc، paravand20 و maryam it سپاسگزاری کرده‌اند.
    ? Know a Network joke

    ! I know one about UDP , but you might not get it





  13. #13
    نام حقيقي: مریم محمدی

    تازه وارد
    تاریخ عضویت
    Sep 2012
    محل سکونت
    اصفهان
    نوشته
    2
    سپاسگزاری شده
    0
    سپاسگزاری کرده
    1
    یعنی تو این سناریو هیچ راهی نداره که deny رو بزاریم بعد یه طرف نتونه ping کنه ولی طرف مقابل بتونه؟



  14. #14
    نام حقيقي: احمد یزدانی (Poker)

    عضو ویژه شناسه تصویری A.Yazdani
    تاریخ عضویت
    Aug 2010
    محل سکونت
    Isfahan
    نوشته
    945
    سپاسگزاری شده
    1310
    سپاسگزاری کرده
    414
    نوشته های وبلاگ
    8
    نقل قول نوشته اصلی توسط maryam it نمایش پست ها
    یعنی تو این سناریو هیچ راهی نداره که deny رو بزاریم بعد یه طرف نتونه ping کنه ولی طرف مقابل بتونه؟
    تا اونجا که من اطلاع دارم خیر .


    ? Know a Network joke

    ! I know one about UDP , but you might not get it

کلمات کلیدی در جستجوها:

اجرای ospf روی سوئیچ لایه 3

acl کامند های برای سوئیچ لایه 3

تنظیمات سوئیچ لایه 3

acl سوییچ لایه 3 برای

ACL در سوئیچ

نوشتن اکسس لیست در سوئیچ 3560

تنطیمات سوئیچ لایه سه در packet tracer

نحوه تنظیم acl در switchمسیر یابی در سویچ 2960نوشتن اکسس لیست در سوئیچ لایه 3تنظیمات سوئیچ در لایه ۳آموزش تنظیم Acsses listaccess list در سوببچ لایه 3نوشتن acl در سوئيچ لايه 3سوئیچ لایه 2 در packtraceracl در سوییچ لایه 3روي سوئیج هاي شبکه access list acl در سویچتنظیم acl در 2960vlan ها بتونن همدیگر رو ببینندسوئیچ لایه سه ospfآموزش نوشتن access-list روی اینترفیس ویلن سوئیچ لایه 3نوشتن سوئیچنوشتن ACL در سوئئچ Distributeدستورات مسیریابی در سوئیچ لایه سه 356024ps

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •