مدونة NetworkSet مدونة تختص بأمور الشبكات والأجهزة التى تدعمها 
من فترة ليست ببعيدة سألني أحد الأعضاء الأفاضل سؤال في غاية الأهمية وهو لماذا نستخدم VLAN اذا كنا سوف نربطها بواسطة Inter-Vlan او الروترات بمعنى آخر لماذا اذا كنا نعزل المستخدمين بواسطة VLAN نعود مرة تانية لربطهم مع بعض بواسطة الروتر
وأحببت أن اخصص موضوع حول هذه الفائدة
والموضوع بشكل عام له هدفين الاول فهم الأستفادة الكبيرة من Inter-Vlan وفائدة ربط ال Vlan مع بعض والثاني درس عملي حول الفي لان والأكسس ليست والاوامر اللازمة وسوف أبدا الشرح بهذه الصورة
كما هو ظاهر عندكم انا قمت بتقسيم المستخدمين الموجودين على الشبكة الى صنفين الازرق والاحمر
بالأضافة وجود سيرفر موصول على نفس الشبكة وكما نعلم جميعا ان الاتصال بين هذه الاجهزة وبما فيها السيرفر يتم بواسطة السويتش وبشكل مباشر اي بدون تدخل الروتر طيب لو قررت انا الان افصل كل مجموعة على حده أي (الازرق , الأحمر , السيرفر ) سوف تقول لي استخدم الـ VLAN طيب لو قلت لك اني أريد ان أسمح للمجموعة الحمراء بالاتصال مع السيرفر سوف تقول لي استخدم ال Inter-Vlanاو الروتر وذلك بعملSub Interface
لكن سؤالي الأهم لو قلت لك اني اريد ان أسمح لكل الاجهزة على الشبكة بالاتصال بالسيرفر واريد ان أمنع عن الأجهزة الزرقاء الاتصال بالسيرفر عن طريق البورت مثلا وهو محور حديثنا في هذا الموضوع وهو كيف امنع جهاز معين أو بورت معين أو خدمة معينة بالأتصال بالآخر وانا في نفس الشبكة امنع المستخدمين من الاتصال بواسطة بورت معين مع بعضهم البعض أو أمنع الاتصال بالتلنت مع السيرفر والأمثلة كثيرة جدا
لنبدأ الشغل العملي وعلى بركة الله وسوف أطبق فكرة منع الاجهزة الحمراء من الاتصال مع السيرفر من خلال البورت 80 و 23(HTTP & TELNET)
الخطوات هي كالآتي
الخطوة الاولى
توزيع الايبيات سوف يكون على الشكل الاتي
ومن هذه التوزيعة نستطيع ان نلاحظ ان كل قسم في شبكة مختلفة
الخطوة الثانية
سوف نقوم بأنشاء Vlan لكل شبكة من خلال السويتش
Switch#vlan database
Switch(vlan)#vlan 2 name Green
VLAN 2 added
Name: Green
Switch(vlan)#vlan 3 name Red
VLAN 3 added
Name: Red
Switch(vlan)#vlan 4 name Blue
VLAN 4 added:
Name: Blue
Switch(vlan)#exit
APPLY completed.
Exiting….
Switch#
الخطوة الثالثة
اضافة البورتات المخصصة لكل قسم فيال Vlan المخصصة لهم
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fa 0/1 , fa 0/4 , fa 0/5
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#interface range fa 0/2 , fa 0/3 , fa 0/6 , fa 0/7
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#exit
وهذه الصورة توضح النتيجة النهائية لهذه الخطوات
الخطوة الرابعة
ربط السويتش مع الروتر من خلال ال Trunk Port
Switch(config-if)#switchport mode trunk
وبهذه الخطوة نكون قد أعددنا السويتش بشكل كامل
الخطوة الخامسة
أعدادا الروتر وهذا يشمل اعداد
Sub Interface & Encapsulation dot1Q
Router(config)#interface fastEthernet 0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.20.17 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.20.1 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.20.9 255.255.255.248
Router(config-subif)#exit
صورة توضح كل الايبيات على الشبكة
طبعا كل هذه الخطوات هي لأعداد ال Vlan & Routing between Vlan
الخطوة الاخيرة
تجهيز الأكسس ليست لمنع المجموعة الحمراء(Vlan3)من الاتصال بالسيرفر (Vlan2) من خلال ال Http & Telnet
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 80
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 23
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
للانترفيس المخصص واخيرا اقوم بأضافة الاكسس ليست (Vlan2)
Router(config-subif)#ip access-group 101 out
Router(config-subif)#exit
ومن هنا تستطيع تحميل ملف الباكيت ترايسير للشرح المذكور http://www.4shared.com/file/189876839/a219514b/vlan.html
ودمتم بود
مشكور استاذي الكريم
شرح ما شاء الله كافي و وافي
درس مهم….خاصا ان له اسئلة كثيرة مذكورة في الامتحانات السابقة لسيسكو
اشكرك مرة اخرى
هلا اخي ابو حواس
ان شاء الله تكون استفدت من الشرح
وانتظر مني الكثير من الشروحات
بارك الله فيك بس يا ريت تجمع الحجات الحلوة دى و تحطهنا فى كتاب علشان الواحد يتدرب عليها و نتعلم منك يا استاذنا
ان شاء الله اخي تيمور أقوم بعمل صفحة خاصة فيها كل الشروحات
على هيئة كتب الكترونية
وشكرا لك على المرور
ممتاز اخي الحبيب
ومدونه اكثر من رائعه
هلا بالاستاذ ياسر نورت المدونة
شرح ما شاء الله رآآئع..
وواستفدت منة كثير والله ..
بس الربط حق الملف مو شغال..
يعطيك الف الف عافية..
تم تعديل الرابط أخي العزيز
اخى العزيز سوالين لو سمحت
لاحظت انك لم تضع الامر switchport mode access هو بيعرفة باى ديفولت
ثانيا لاحظت ايضاء انك لم تحدد اتجاة ال in فى الاكسس ليست هل دة ممكن عادى ان انا مححددش in و اكتفى out
شكرا
بالنسبة للسؤال الأول
هذا الأمر ليس من الضروري وضعه أنا ممكن اضعه على البورت المتصل بي
end device فقط
وبالنسبة للسؤال الثاني
مفيش في الأكسس ليست in و Out
هناك أما in والمقصود فيها الترافيك الداخل الى الروتر
أو ال Out وهو الترافيك الخارج من البورت
كلامك صحيح 100 فى 100 انا الى اتلخبط بس انت عارف انت الاستاذ
بارك الله فيك
هل الامر هذا
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
مساوي لهذا الامر أو هناك اختلاف ..وما هو ؟
Router(config)#access-list 101 permit iip any any
تمام أخي الأمران متساويان تماما
بس أنا أخترت الطريقة الأولى من أجل أن يكون كل شيء واضح
بارك الله فيك يا بش مهندس شرح وافي جدا
مشكور أخوي …شرح ممتاز جداً
سؤالي:
لو كان عندك VLAN10 و 20 و 30 و 40
الـ 30 و 40 فيهم سيرفرات والـ 10 و 20 كلاينتس
نريد الـ vlan30 ما يقدر أبداً يعمل أكسس لـ Vlan40 والعكس صحيح بس
كلهم يقدروا يشوفوا Servers Vlans
يعطيك العافية
عادي أخي قم بعمل أكسس ليست من نوع Standard وأمنع الشبكة الخاصة بي 30 أن يتصلوا مع الـ 40 وبعدها قم بعمل أكسس ليست تسمح بها بكل شيء
وانتهى الامر
اشكرك اخي الكريم على هذا المثال الرائع
ولكن لي سؤال … لماذا طبق out على الانترفيس
مع العلم اني الextended هي اقرب للسورس اي ممكن تكون in
اني جبرت ال in ولم تنجح ارجو التوضيح لان بصراحة حيرتني
وربنا يبارك فيك
إذا في حال أستخدمت In فأنت في هذه الحالة تمنع الشبكتين من الدخول إلى الروتر نهائيا لكن عندما نطبق الأكسس ليست على البورت المخصص لشبكة السيرفر فنحن في هذه الحالة نسمح للشبكات الباقية بالدخول والأتصال فيما بينها لكن نمنعهم من التوجه إلى الروتر
اعتقد لم تفهمني بشكل جيد
عند عمل الاكس ليست على الانترفيس inf0/0.2 وجعلها in على البورت
من المفترض ان تعمل لاننا منعنا فقط الايبي او السبنيت الذي يحمل
0.0.0.7 192.168.20.0 اي فقط الرينج من 1 الى 7 هل هذا صحيح ؟
ولكن مع تجربتي على المثال المرفق للباكسيت تريسر والتغيير وجعل الاكسس لست على البورت inf0/0.2 هي in
وجدت ان الvlan 3 و vllan4 تستطيع الوصول الى بورت 80 ويعمل الhttp … اي كأنما لا يوجد اكسس لست
ولا اعرف ما هو السبب
وأسف اذا سببت ازعاج واشكرك مره ثانية لسعت صدرك
أخي انت عندك ألتباس كامل باللاب ياريت ترجع تقرأ الموضوع مرة آخرى
البيورت 0/0.2 هو الجيت واي للفي لان 2 يعني ماذا سوف تستفيد من منع الشبكة 192.168.20.0/248 من الدخول من خلال هذا المنفذ والتى بالاساس لاتحوي هذه الشبكة ولاتحوي هذا العنوان
اتمنى انك تعيد قراءة الموضوع حتى تفهمه بشكل أفضل
اني اسف جداً حدث مع بعض الالتباس مع العلم اني فاهم الاكسس ليست بشكل جيد
ممكن العمل على الانترفيس f0/0.3 بحالة in
هذا قصدي من البداية … واعتقد هذا الخطوة اخفف على الرواتر من العمل على الانترفيس f0/0.2 بحالة out على ما اظن وعلى ما تعلمته من الامثلة
اسف مره ثانية واشكرك جزيل الشكر لسعة صدرك
وفقك الله اخي العزيز ايمن
مجهود وشرح اكثر من رائع
بارك الله فيك شرح ممتاز
السلام عليكم
شكرا لك على هذا الشرح الاكثر من ممتاز
thank you
بارك الله بيك اخي العزيز ودمتم في رعاية الله وحفظه
🙂
عانك الله ووفقك فى الخير دائما وجزاك الخير الكثير
ربنا يكرمك و جزاك الله كل خير………….الف مليوووووون شكر
Thank you for this explaining , I’m new to this site and I like it so much.
all the luck to u Engineers .
انا عايزه مشروع تخرج ف الشبكات
الشرح رائع جدا جدا ………… مشكور كثير اخي Ayman Alnaimi
بارك الله فيك وزادك
جميل جزاك الله الجنة, برأيي تقوم بترجمة إحدى الكتب الانكليزية التي لها علاقة بالشبكات,مثل top-down network ربما تكون الفائدة اكبر لإغناء المحتولى العربي