• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Deny vlan nay, permit vlan kia.

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Deny vlan nay, permit vlan kia.

    Dear all,

    Mình đang phải cấu hình routing cho switch 3560. Mình muốn VLan1 vào được các VLan2, vlan3, vlan4. Nhưng ngược lại các Vlan2, vlan3, vlan4 này không được phép vào vlan1. Mình cấu hình access-list thử deny vlan2 qua vlan1 thì ngược lại vlan1 cũng không vào được vlan2 luôn.

    Pác nào có giải pháp nào giúp mình với. Và make sure là đã test lab và 100% chạy nhe các pác.

    Thanks in advance.
    Đời là phù du...!!!:105:
    Tags: None
  • #2
    bạn up mô hình nên mọi người giúp cho dễ

    Comment

    • #3
      @lucandat: Bạn viết Route map sao bạn viết mình tham khảo với.
      @mrtrild: Mình có demo bài Lab có thể giải quyết vấn đề của bạn, mình chỉ demo cho 2 vlan 2 và 3. Bạn xem có giúp được j cho bạn không.
      Có j bạn cứ đưa lên mọi người cùng disscuss.
      Lab demo: http://www.mediafire.com/?v26qdfcjlkpry3z
      Theo lối dẫn-Ngẫng nhìn thầy-Đi theo thầy-Nhìn thấu thầy-và Trở thành thầy.

      Comment

      • #4
        Vlan 1 chỉ được quyền truy cập một chiều đến Vlan 2, Vlan 3 và Vlan 4.
        Giải pháp:
        Ví dụ chỉ cho phép Vlan 1 truy cập bằng telnet đến Vlan 2, Vlan 3, Vlan 4:
        Trước tiên, đặt password cho line vty trên Switch:
        Switch(config)#line vty 0 15
        Switch(config-line)#login
        Switch(config-line)#password lucandat
        tại PCs kiểm tra telnet:
        C:>telnet 172.16.1.10
        Trying 172.16.1.10 ... Open
        Switch>
        tại Switch tạo name ACLs extended cho phép telnet:
        Switch(config)#ip access-list extended telnet_list
        Switch(config-ext-nacl)#permit tcp any any eq telnet
        ngoài telnet ra cho phép tất cả:
        Switch(config)#ip access-list extended all_traffic
        Switch(config-ext-nacl)#permit ip any any
        tạo 2 access-map:
        Switch(config)#vlan access-map vlan_map 10
        Switch(config-access-map)#match ip address telnet_list
        Switch(config-access-map)#action drop

        Switch(config-access-map)#vlan access-map vlan_map 20
        Switch(config-access-map)#match ip address all_traffic
        Switch(config-access-map)#action forward
        cuối cùng áp access-list vào vlan 1:
        Switch(config)#vlan filter vlan_map vlan-list 1
        Troubleshooting:

        Switch#show vlan access-map
        Vlan access-map "vlan_map" 10
        match clauses:
        IP address: telnet_list
        Action:
        drop
        Vlan access-map "vlan_map" 20
        match clauses:
        IP address: all_traffic
        Action:
        forward

        Switch#show access-lists
        Extended IP access list telnet_list
        permit tcp any any eq telnet
        Extended IP access list all_traffic
        permit ip any any

        Switch#show vlan filter
        VLAN Map vlan_map is filtering VLANs:
        1

        C:>telnet 172.16.1.10
        Trying 172.16.1.10 ...
        % Destination unreachable; gateway or host down

        Lục ẨN Đạt (CCNP)
        Last edited by lucandat; 10-06-2013, 11:49 PM.

        Comment

        • #5
          Dear all,

          Cám ơn các bạn đã hỗ trợ, mình sẽ test và feedback sớm. Tiện đây nhờ các bạn chỉ giáo thêm. Sếp mình đang muốn VPN site-site tới US giữa 2 cisco 890. Nhưng chỉ cho phép network bên vietnam truy cập qua US, còn deny từ phái US về vietnam.

          Thanks in advance.
          Đời là phù du...!!!:105:

          Comment

          • #6
            đơn giản mà, bạn sau khi thiết lập VPN Site-to-Site, bạn tạo ACLs và áp vào interface là xong, ý tưởng là vậy.
            bạn test ví dụ ở trên của mình thành công chưa?
            Last edited by lucandat; 11-06-2013, 02:54 PM.

            Comment

            • #7
              Hi bạn lucandat,

              Vụ Vlan của bạn, bên mình có người đã test rồi nhưng không chạy được. Bạn xem lại giùm mình nhé.

              Thanks for your help.

              mrtrild
              Đời là phù du...!!!:105:

              Comment

              • #8
                Bạn có thể tạo:
                access-list 104 deny icmp 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255
                access-list 104 permit ip any any
                access-list 103 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
                access-list 103 permit ip any any
                access-list 102 deny icmp 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
                access-list 102 permit ip any any
                Rồi sau đó vào từng interface vlan
                interface vlan 2
                ip access-group 102 in
                interface vlan 3
                ip access-group 103 in
                interface vlan 4
                ip access-group 104 in
                Chúc bạn thành công

                Comment

                • #9
                  Originally posted by mrtrild View Post
                  Dear all,

                  Mình đang phải cấu hình routing cho switch 3560. Mình muốn VLan1 vào được các VLan2, vlan3, vlan4. Nhưng ngược lại các Vlan2, vlan3, vlan4 này không được phép vào vlan1. Mình cấu hình access-list thử deny vlan2 qua vlan1 thì ngược lại vlan1 cũng không vào được vlan2 luôn.

                  Pác nào có giải pháp nào giúp mình với. Và make sure là đã test lab và 100% chạy nhe các pác.

                  Thanks in advance.
                  SW1 (config)#vlan 1,2,3,4

                  Sw1(config)#interface vlan 1
                  Sw1(config-if)#ip address 192.168.1.1 255.255.255.0
                  Sw1(config-if)#exit

                  Sw1(config)#interface vlan 2
                  Sw1(config-if)#ip address 192.168.2.1 255.255.255.0
                  Sw1(config-if)#exit

                  Sw1(config)#interface vlan 3
                  Sw1(config-if)#ip address 192.168.3.1 255.255.255.0
                  Sw1(config-if)#exit
                  Sw1(config)#interface vlan 4
                  Sw1(config-if)#ip address 192.168.4.1 255.255.255.0
                  Sw1(config-if)#exit


                  SW1 (config)# interface range f0/1 - 5
                  SW1 (config-if-range)#switchport mode access
                  SW1 (config-if-range)#switchport access vlan 1
                  SW1 (config-if-range)# exit

                  SW1 (config)# interface range f0/6 - 10
                  SW1 (config-if-range)#switchport mode access
                  SW1 (config-if-range)#switchport access vlan 2
                  SW1 (config-if-range)# exit

                  SW1 (config)# interface range f0/11 - 15
                  SW1 (config-if-range)#switchport mode access
                  SW1 (config-if-range)#switchport access vlan 3
                  SW1 (config-if-range)# exit

                  SW1 (config)# interface range f0/16 - 20
                  SW1 (config-if-range)#switchport mode access
                  SW1 (config-if-range)#switchport access vlan 4
                  SW1 (config-if-range)# exit


                  SW1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
                  SW1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
                  SW1(config)#access-list 100 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255
                  SW1(config)#access-list 100 permit ip any any

                  SW1(config)# VLAN access-map CLASS_MAP 10
                  SW1(config)# match ip address 100
                  SW1(config)# action drop
                  SW1(config)# exit

                  SW1 (config)# VLAN filter CLASS_MAP Vlan-list 1, 2, 3, 4
                  Last edited by Mr.cuong; 12-06-2013, 05:51 PM.
                  MCSA; CCNA; CCNP; CCSP-Firewall
                  http://learningnetworksystem.blogspot.com/
                  cell: 0938 368 444

                  Comment

                  • #10
                    Thanks các bạn,

                    Để chiều nay sau giờ làm việc mình sẽ test thử. Cho mình hỏi thêm tại sau Switch 3560 của mình có chức năng route-map. Nhưng khi tạo xong, sau đó vào interface thì không có lệnh để apply route-map vào.

                    Switch Ports Model SW Version SW Image
                    ------ ----- ----- ---------- ----------
                    * 1 30 WS-C3560X-24 12.2(55)SE5 C3560E-UNIVERSALK9-M

                    License Level: ipbase
                    License Type: Permanent
                    Next reload license Level: ipbase

                    Bên trên là license và Os của Switch mình.

                    Tiện thể các bạn trả lời vụ VPN giùm mình luôn nhé

                    Thanks in advance

                    Tri Le
                    Đời là phù du...!!!:105:

                    Comment

                    • #11
                      interface vlan 1
                      ip policy route-map ten_routemap

                      Comment

                      • #12
                        Hi all,

                        Có lẽ do cái OS của mình. Mình vào interface đó gõ lệnh không có.

                        Thanks for all

                        Tri Le
                        Đời là phù du...!!!:105:

                        Comment

                        • #13
                          Map mo giua vlan accesslist va private vlan . ban co the dua mo hinh len duoc ko.

                          Comment

                          Previous template Next
                          Working...
                          X