اعمال access-list بر روی سویچ لایه سه

سلام.

بصورت پیشفرض که VLAN های مختلف نمیتوانند همدیگر را ببینند اما اگر از طریق سوپیچ قابلیت InterVlan Routing را پیاده سازی کردید باید از دستورات زیر روی سوپیچ استفاده کنید:

switchX(Config)#access-list 101 deny ip host 192.168.15.15 host 192.168.20.30
switchX(Config)#access-list 101 deny ip host 192.168.15.15 host 192.168.20.20
switchX(Config)#Access-list 101 permit ip any any

و این ACL را روی اینترفیس Fa0/24 در جهت in اعمال کنید:

switchX(config)#interface fa 0/24
switchX(Config-if)#no switchport
switchX(Config-if)#ip address 192.168.15.1 255.255.255.0
switchX(config-if)#ip access-group 101 in

Gateway PC0 هم طبیعتا به 192.168.15.1 تنظیم شده است.

این دستور باعث میشه که سیستم های vlan 20 نتوانند دیگر سیستم ها رو ببینند. و درست کار نمیکنه

ببینید منظور خودتون رو از دیدن و ندیدن مشخص کنید. ندیدن در این موضوع یک بحث دو طرفه ست.

بطور کلی برای مسدود کردن دسترسی A به B دو روش وجود دارد:

۱-مسدود کردن ترافیک های از A به B

۲-مسدود کردن ترافیک های از B به A

که عملا نتیجه مشابهی خواهند داشت. پس اینکه VLAN 20 نتواند VLAN15 را در اینجا ببیند اتفاق درستی است.

اما نکته مهم اینست که بصورت فله ای مسدود کردن ترافیک از یک رنج به رنج دیگر شاید همیشه کار صحیحی نباشد. بلکه درست اینست که با جزپیات اعلام شود که مثلا دسترسی VLAN 15 به VLAN 20 از حیث فلان پروتکل خاص مسدود باش.

مثلا زمانی که VLAN 20 مجموعه ای از سرورها است و میخواهید دسترسی VLAN 15 را از حیث پروتکل HTTP یا وب و یا FTP یا حتی ICMP (همان Ping) و غیره با VLAN20 مسدود کنید. در این صوزت احتمالا نتایج معقول تری خواهید داشت.

این رو هم بگم که با توجه به توپولوژی شما بنظرم نیاز دارید در Fa0/23 از سوپیچ لایه ۳ خود از Sub interface استفاده کنید و DG کلاینتهای سوپیج سمت راست را به سمت آنها ست کنید.

صحبت های شما درسته ولی من سناریوی کامل رو دوباره تو سایت گذاشتم مشکل من اینه که با سیستم های خارج از vlan 15 هم ارتباط از بین میره یعنی مشکل فقط vlan 15,20 نیست.

حالا شما سناریوی کامل ببینید بعد دوباره نظر بدید ممنون میشم ازتون