Hi,

Có tới 3 cách để làm điều này
1. Dùng ACL truyền thống (recommend)
2. Dùng Vlan ACL
3. Dùng private Vlan

Mình đã thử dùng ACL thường nhưng chưa biết cấu hình sao cho đúng nữa.
Đây là cách thiết lập ACL của mình.

access-list 100 permit tcp 172.16.0.0 0.0.255.255 172.16.16.0 0.0.0.255
(mọi VLAN ping được VLAN của server )

access-list 100 permit tcp 172.16.11.0 0.0.0.255 172.16.17.0 0.0.0.255
access-list 100 permit tcp 172.16.12.0 0.0.0.255 172.16.17.0 0.0.0.255
access-list 100 permit tcp 172.16.13.0 0.0.0.255 172.16.17.0 0.0.0.255
access-list 100 permit tcp 172.16.14.0 0.0.0.255 172.16.17.0 0.0.0.255
access-list 100 permit tcp 172.16.15.0 0.0.0.255 172.16.17.0 0.0.0.255
access-list 100 permit tcp 172.16.16.0 0.0.0.255 172.16.17.0 0.0.0.255
(cho phép các VLAN tầng 1 ping được VLAN máy in tầng 1)

access-list 100 permit tcp 172.16.21.0 0.0.0.255 172.16.26.0 0.0.0.255
access-list 100 permit tcp 172.16.22.0 0.0.0.255 172.16.26.0 0.0.0.255
access-list 100 permit tcp 172.16.23.0 0.0.0.255 172.16.26.0 0.0.0.255
access-list 100 permit tcp 172.16.24.0 0.0.0.255 172.16.26.0 0.0.0.255
access-list 100 permit tcp 172.16.25.0 0.0.0.255 172.16.26.0 0.0.0.255
(cho phép các VLAN tầng 2 ping được VLAN máy in tầng 2)

access-list 100 permit tcp 172.16.31.0 0.0.0.255 172.16.33.0 0.0.0.255
access-list 100 permit tcp 172.16.32.0 0.0.0.255 172.16.33.0 0.0.0.255
( cho phép các VLAN tầng 3 ping được VLAN máy in tầng 3)

access-list 100 permit tcp 172.16.0.0 0.0.255.255 172.16.201.0 0.0.0.255
access-list 100 permit tcp 172.16.0.0 0.0.255.255 172.16.202.0 0.0.0.255
(cho phép tất cả các VLAN ping được tới Firewall)

access-list 100 deny ip any any
( các VLAN còn lại ko ping thấy nhau)
//================================================
Mình viết vậy không biết đã ổn chưa. Vì mình add vào ALC vào port của L3 SW thì chỉ có thể "in". Nhưng khi add vào thì ko đạt yêu cầu ( ghi trong ngoặc đơn dưới các dòng lệnh trên), ping không thấy nhau cả. Còn nếu add vào VLAN thì khi set in hay out đều bị một trong 2 tình trạng là hoặc ko ping đâu được hoặc ping unreachable net...
Mong được sự hướng dẫn về cách viết lệnh và nên add vào interface nào là khả quan.
Cảm ơn rất nhiều.

access list của bạn apply vào interface nào của SW L3? Có phải apply vào các interface vlan không?

Ban đầu em apply vào port của L3 SW nối với các NA L2, nhưng ko ping được đâu cả.
Sau đó em add vào VLAN nhưng cũng kết quả tương tự.

access list của bạn chỉ permit TCP mà, đâu có permit ICMP mà ping đc.

Vậy em muốn cho ping thấy, có thể duyệt web, telnet các thứ. Thì em viết command thế nào?

Them may cau ACL y nhu tren ma2 sua TCP lai la ICMP la dc.

P/s: mo hinh ban ve la wa' :D

Cảm ơn bạn thật nhiều. Mình làm chạy ACL rồi.
Nếu theo yêu cầu như trên mà dùng VLAN ACL thì viết như thế nào?
Mô hình mình cũng mới làm lần đầu.
NA L2 là Apresia SW. Có nhiều chức năng lắm. Giờ mình lại rối với chức năng kiểm duyệt của nó. Mình phải xác minh địa chỉ MAC của máy tính đăng nhập và xác nhận ID, password khi các máy trong VLAN muốn truy cập web hay vào server. Bạn nào có thể gợi ý mình cách làm thế nào không? Mình có Radius server đang xài SUSE Linux bản 10.

bạn cho mình xin cấu hình bài đó được không bạn?

Cho minh xin bai lab cau hinh cua ban duoc ko? email cua minh la giangdv@gmail.com. Cam on nhieu