VLans Cisco Packet tracer

Network Not work

Çok katmanlı anahtar ve DHCP hizmeti ile bir yönlendirici aracılığıyla yapılandırılmış iki vlans var. Aşağıdaki resimde gösterildiği gibi gövde ve erişim portlarını yapılandırdım.

Vlan'ın arasındaki trafiği engellemem gerek.

.gif ağımın şu anda Vlan10 ve Vlan20 arasında mesaj göndermesine izin verdiğini, ancak birbirlerini görmemeleri gerektiğini gösteriyor.

Bu trafiği nasıl engelleyebilirim? Zaten yapılandırılmış alt arayüzleri ve dot1q [vlan number] 'ı şifreleyin.

Yardımın için teşekkürler!!

Cisco Packet Tracer Dosyası: dropbox.com/s/y7cplt8l6zpv303/v2.pkt?dl=0

Aynı amaçla başka bir ağda kullanılan komutlar: docs.google.com/document/d/120PfwrPki67Z2gMxoCz8Z6SidulgLCiUVLU-NqVBq3w/edit#

enter image description here

** ROUTER CONFIG
ip dhcp pool 10
 network 172.16.0.0 255.255.255.128
 default-router 172.16.0.1
ip dhcp pool 20
 network 172.17.0.0 255.255.255.128
 default-router 172.17.0.1
ip dhcp pool vlan10
 network 172.16.0.0 255.255.255.128
 default-router 172.16.0.1
ip dhcp pool vlan20
 network 172.17.0.0 255.255.255.128
 default-router 172.17.0.1
!

Router#sh ip int br
Interface              IP-Address      OK? Method Status                Protocol

FastEthernet0/0        172.116.1.1     YES manual up                    up

FastEthernet0/0.10     172.16.0.1      YES manual up                    up

FastEthernet0/0.20     172.17.0.1      YES manual up                    up

FastEthernet0/1        unassigned      YES unset  administratively down down

Vlan1                  unassigned      YES unset  administratively down down



Router#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------



**** Switch config

interface FastEthernet0/1
 switchport trunk allowed vlan 1-19,21-1005
!
interface FastEthernet0/2
 switchport trunk allowed vlan 1-9,11-1005
!

Switch#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0/3, Fa0/4, Fa0/5, Fa0/6
                                                Fa0/7, Fa0/8, Fa0/9, Fa0/10
                                                Fa0/11, Fa0/12, Fa0/13, Fa0/14
                                                Fa0/15, Fa0/16, Fa0/17, Fa0/18
                                                Fa0/19, Fa0/20, Fa0/21, Fa0/22
                                                Fa0/23, Fa0/24, Gig0/1, Gig0/2
10   vlan10                           active    
20   vlan20                           active    
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
10   enet  100010     1500  -      -      -        -    -        0      0
20   enet  100020     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0   
1003 tr    101003     1500  -      -      -        -    -        0      0   
1004 fdnet 101004     1500  -      -      -        ieee -        0      0   
1005 trnet 101005     1500  -      -      -        ibm  -        0      0   
2
Herhangi bir cevap size yardımcı oldu mu? Eğer öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar haşhaş olmayacak, bir cevap aramayacaktır. Alternatif olarak, kendi cevabınızı sağlayabilir ve kabul edebilirsiniz.
katma yazar Ron Maupin, kaynak
Liliana, lütfen anahtarların ve yönlendiricinizin konfigürasyonunu ekleyin. Çoğumuz paket izleyicisi yok.
katma yazar Ron Trunk, kaynak
S_Technologica'da tanımlanan 20,30,40,50 VLAN'ları göremiyorum. Sadece VLAN 10'u görüyorum. Ayrıca, erişim anahtarlarında tanımlanan VLAN'lar da var mı?
katma yazar Ron Trunk, kaynak
Konfigürasyon metnini sorunuza koymanız daha iyidir, böylece herkes bunu görebilir. Pastebin'de, tek gördüğüm yönlendiricidir. Tüm VLAN'larınızı çok katmanlı anahtarda tanımladığınızdan emin olun.
katma yazar Ron Trunk, kaynak
Yapı metnini doğrudan Pastebin'e bir bağlantı değil, soruya yapıştırın.
katma yazar Ron Trunk, kaynak
Üzgünüm, seni daha önce yanlış anladım. Diğer VLANS'lar için hedeflenen trafiği filtrelemek için alt arayüzlere bir erişim listesi uygulamanız gerekir. Size örnek vermek için doğru IP alt ağlarını ve maskelerini görmemiz gerekiyor. Diyagramınızdaki adresler mantıklı değildir (255.255.255.226 geçerli bir maske değildir).
katma yazar Ron Trunk, kaynak
İki VLAN arasındaki trafiği engellemek için ip erişim listesi 'yi kullanmalısınız. Yönlendirici arasında tek bir trafik geçişi istemiyorsanız yönlendiriciye ihtiyacınız yoktur.
katma yazar jim, kaynak
Oops, haklısın. Etiketlerdeki bir hataydı. Maske 255.255.255.128
katma yazar Troy Emmett, kaynak

1 cevap

VLAN trafiğini engellemek için bir erişim listesine ihtiyacınız var. Her bir alt arayüz için bir tane olacak. Örneğin

access-list 10 deny 172.1.0.0 0.0.0.127
access-list 10 deny 
access-list 10 deny 
access-list 10 permit any

interface fa 0/0.10
access-group 10 out

Daha önce hiç erişim listesi yapılandırmamışsanız, aşağıdakilere dikkat edin:

  • İfadedeki alt ağ maskeleri "joker maskeler" dir. Onlar birinin normal bir maske tamamlayıcısı.

  • Engellemek istediğiniz her VLAN için erişim listenize bir satır eklemeniz gerekir.

1
katma