من فترة ليست ببعيدة سألني أحد الأعضاء الأفاضل سؤال في غاية الأهمية وهو لماذا نستخدم VLAN اذا كنا سوف نربطها بواسطة Inter-Vlan او الروترات بمعنى آخر لماذا اذا كنا نعزل المستخدمين بواسطة VLAN نعود مرة تانية لربطهم مع بعض بواسطة الروتر
وأحببت أن اخصص موضوع حول هذه الفائدة
والموضوع بشكل عام له هدفين الاول فهم الأستفادة الكبيرة من Inter-Vlan وفائدة ربط ال Vlan مع بعض والثاني درس عملي حول الفي لان والأكسس ليست والاوامر اللازمة وسوف أبدا الشرح بهذه الصورة
كما هو ظاهر عندكم انا قمت بتقسيم المستخدمين الموجودين على الشبكة الى صنفين الازرق والاحمر
بالأضافة وجود سيرفر موصول على نفس الشبكة وكما نعلم جميعا ان الاتصال بين هذه الاجهزة وبما فيها السيرفر يتم بواسطة السويتش وبشكل مباشر اي بدون تدخل الروتر طيب لو قررت انا الان افصل كل مجموعة على حده أي (الازرق , الأحمر , السيرفر ) سوف تقول لي استخدم الـ VLAN طيب لو قلت لك اني أريد ان أسمح للمجموعة الحمراء بالاتصال مع السيرفر سوف تقول لي استخدم ال Inter-Vlanاو الروتر وذلك بعملSub Interface
لكن سؤالي الأهم لو قلت لك اني اريد ان أسمح لكل الاجهزة على الشبكة بالاتصال بالسيرفر واريد ان أمنع عن الأجهزة الزرقاء الاتصال بالسيرفر عن طريق البورت مثلا وهو محور حديثنا في هذا الموضوع وهو كيف امنع جهاز معين أو بورت معين أو خدمة معينة بالأتصال بالآخر وانا في نفس الشبكة امنع المستخدمين من الاتصال بواسطة بورت معين مع بعضهم البعض أو أمنع الاتصال بالتلنت مع السيرفر والأمثلة كثيرة جدا
لنبدأ الشغل العملي وعلى بركة الله وسوف أطبق فكرة منع الاجهزة الحمراء من الاتصال مع السيرفر من خلال البورت 80 و 23(HTTP & TELNET)
الخطوات هي كالآتي
الخطوة الاولى
توزيع الايبيات سوف يكون على الشكل الاتي
ومن هذه التوزيعة نستطيع ان نلاحظ ان كل قسم في شبكة مختلفة
الخطوة الثانية
سوف نقوم بأنشاء Vlan لكل شبكة من خلال السويتش
Switch#vlan database
Switch(vlan)#vlan 2 name Green
VLAN 2 added
Name: Green
Switch(vlan)#vlan 3 name Red
VLAN 3 added
Name: Red
Switch(vlan)#vlan 4 name Blue
VLAN 4 added:
Name: Blue
Switch(vlan)#exit
APPLY completed.
Exiting….
Switch#
الخطوة الثالثة
اضافة البورتات المخصصة لكل قسم فيال Vlan المخصصة لهم
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fa 0/1 , fa 0/4 , fa 0/5
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#interface range fa 0/2 , fa 0/3 , fa 0/6 , fa 0/7
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#exit
وهذه الصورة توضح النتيجة النهائية لهذه الخطوات
الخطوة الرابعة
ربط السويتش مع الروتر من خلال ال Trunk Port
Switch(config-if)#switchport mode trunk
وبهذه الخطوة نكون قد أعددنا السويتش بشكل كامل
الخطوة الخامسة
أعدادا الروتر وهذا يشمل اعداد
Sub Interface & Encapsulation dot1Q
Router(config)#interface fastEthernet 0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.20.17 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.20.1 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.20.9 255.255.255.248
Router(config-subif)#exit
صورة توضح كل الايبيات على الشبكة
طبعا كل هذه الخطوات هي لأعداد ال Vlan & Routing between Vlan
الخطوة الاخيرة
تجهيز الأكسس ليست لمنع المجموعة الحمراء(Vlan3)من الاتصال بالسيرفر (Vlan2) من خلال ال Http & Telnet
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 80
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 23
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
للانترفيس المخصص واخيرا اقوم بأضافة الاكسس ليست (Vlan2)
Router(config-subif)#ip access-group 101 out
Router(config-subif)#exit
ومن هنا تستطيع تحميل ملف الباكيت ترايسير للشرح المذكور http://www.4shared.com/file/189876839/a219514b/vlan.html
ودمتم بود
