الرئيسية » Cisco » درس عملي حول الـVlan وتوضيح فوائد الـ Inter-Vlan

درس عملي حول الـVlan وتوضيح فوائد الـ Inter-Vlan

من فترة ليست ببعيدة سألني أحد الأعضاء الأفاضل سؤال في غاية الأهمية وهو لماذا نستخدم VLAN اذا كنا سوف نربطها بواسطة Inter-Vlan او الروترات بمعنى آخر لماذا اذا كنا نعزل المستخدمين بواسطة VLAN نعود مرة تانية لربطهم مع بعض بواسطة الروتر

وأحببت أن اخصص موضوع حول هذه الفائدة
والموضوع بشكل عام له هدفين الاول فهم الأستفادة الكبيرة من Inter-Vlan وفائدة ربط ال Vlan مع بعض والثاني درس عملي حول الفي لان والأكسس ليست والاوامر اللازمة وسوف أبدا الشرح بهذه الصورة

كما هو ظاهر عندكم انا قمت بتقسيم المستخدمين الموجودين على الشبكة الى صنفين الازرق والاحمر
بالأضافة وجود سيرفر موصول على نفس الشبكة وكما نعلم جميعا ان الاتصال بين هذه الاجهزة وبما فيها السيرفر يتم بواسطة السويتش وبشكل مباشر اي بدون تدخل الروتر طيب لو قررت انا الان افصل كل مجموعة على حده أي (الازرق , الأحمر , السيرفر ) سوف تقول لي استخدم الـ VLAN طيب لو قلت لك اني أريد ان أسمح للمجموعة الحمراء بالاتصال مع السيرفر سوف تقول لي استخدم ال Inter-Vlanاو الروتر وذلك بعملSub Interface

لكن سؤالي الأهم لو قلت لك اني اريد ان أسمح لكل الاجهزة على الشبكة بالاتصال بالسيرفر واريد ان أمنع عن الأجهزة الزرقاء الاتصال بالسيرفر عن طريق البورت مثلا وهو محور حديثنا في هذا الموضوع وهو كيف امنع جهاز معين أو بورت معين أو خدمة معينة بالأتصال بالآخر وانا في نفس الشبكة امنع المستخدمين من الاتصال بواسطة بورت معين مع بعضهم البعض أو أمنع الاتصال بالتلنت مع السيرفر والأمثلة كثيرة جدا

لنبدأ الشغل العملي وعلى بركة الله وسوف أطبق فكرة منع الاجهزة الحمراء من الاتصال مع السيرفر من خلال البورت 80 و 23(HTTP & TELNET)
الخطوات هي كالآتي

الخطوة الاولى

توزيع الايبيات سوف يكون على الشكل الاتي

ومن هذه التوزيعة نستطيع ان نلاحظ ان كل قسم في شبكة مختلفة

الخطوة الثانية

سوف نقوم بأنشاء Vlan لكل شبكة من خلال السويتش

Cisco's IOS
Switch>en
Switch#vlan database
Switch(vlan)#vlan 2 name Green
VLAN 2 added
Name: Green
Switch(vlan)#vlan 3 name Red
VLAN 3 added
Name: Red
Switch(vlan)#vlan 4 name Blue
VLAN 4 added:
Name: Blue
Switch(vlan)#exit
APPLY completed.
Exiting….
Switch#

الخطوة الثالثة

اضافة البورتات المخصصة لكل قسم فيال Vlan المخصصة لهم 

Cisco's IOS
Switch#conf tSwitch(config)#interface fastEthernet 0/9
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fa 0/1 , fa 0/4 , fa 0/5
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#interface range fa 0/2 , fa 0/3 , fa 0/6 , fa 0/7
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#exit

وهذه الصورة توضح النتيجة النهائية لهذه الخطوات

الخطوة الرابعة

ربط السويتش مع الروتر من خلال ال Trunk Port

Cisco's IOS
Switch#conf tSwitch(config)#interface fastEthernet 0/8

Switch(config-if)#switchport mode trunk

وبهذه الخطوة نكون قد أعددنا السويتش بشكل كامل

الخطوة الخامسة

أعدادا الروتر وهذا يشمل اعداد

Sub Interface & Encapsulation dot1Q

Cisco's IOS
Router>enRouter#conf t

Router(config)#interface fastEthernet 0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.20.17 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.20.1 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.20.9 255.255.255.248
Router(config-subif)#exit

صورة توضح كل الايبيات على الشبكة

طبعا كل هذه الخطوات هي لأعداد ال Vlan & Routing between Vlan

الخطوة الاخيرة

تجهيز الأكسس ليست لمنع المجموعة الحمراء(Vlan3)من الاتصال بالسيرفر (Vlan2) من خلال ال Http & Telnet

Cisco's IOS
Router>enRouter#conf t

Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 80
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 23
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any

 

للانترفيس المخصص واخيرا اقوم بأضافة الاكسس ليست (Vlan2)

Cisco's IOS
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#ip access-group 101 out
Router(config-subif)#exit

ومن هنا تستطيع تحميل ملف الباكيت ترايسير للشرح المذكور http://www.4shared.com/file/189876839/a219514b/vlan.html

ودمتم بود

Print Friendly, PDF & Email

عن Ayman Alnaimi أيمن النعيمي

مهندس كمبيوتر سوري ومقيم حاليا في قطر , باحث ومطور للمحتوى العربي على الأنترنت, أهدف إلى رفع مستوى الأمة العربية ومساعدتها في النهضة العلمية, أغلب أهتماماتي في الشبكات وتحديدا الهاردوير منها وأقضى معظم وقتي في القراءة والدراسة والعمل وأؤمن بأن الثورة لو كانت لتكون فهي تبدأ بالقراءة ويليها الكتابة وبدون الآخيرة لن يكون هناك ثورة. للتواصل admin@networkset.net & networkset@hotmail.com

33 تعليقات

  1. مشكور استاذي الكريم
    شرح ما شاء الله كافي و وافي
    درس مهم….خاصا ان له اسئلة كثيرة مذكورة في الامتحانات السابقة لسيسكو
    اشكرك مرة اخرى

  2. بارك الله فيك بس يا ريت تجمع الحجات الحلوة دى و تحطهنا فى كتاب علشان الواحد يتدرب عليها و نتعلم منك يا استاذنا

  3. ممتاز اخي الحبيب
    ومدونه اكثر من رائعه

  4. شرح ما شاء الله رآآئع..
    وواستفدت منة كثير والله ..
    بس الربط حق الملف مو شغال..
    يعطيك الف الف عافية..

  5. اخى العزيز سوالين لو سمحت
    لاحظت انك لم تضع الامر switchport mode access هو بيعرفة باى ديفولت

    ثانيا لاحظت ايضاء انك لم تحدد اتجاة ال in فى الاكسس ليست هل دة ممكن عادى ان انا مححددش in و اكتفى out
    شكرا

    • بالنسبة للسؤال الأول
      هذا الأمر ليس من الضروري وضعه أنا ممكن اضعه على البورت المتصل بي
      end device فقط
      وبالنسبة للسؤال الثاني
      مفيش في الأكسس ليست in و Out
      هناك أما in والمقصود فيها الترافيك الداخل الى الروتر
      أو ال Out وهو الترافيك الخارج من البورت

  6. كلامك صحيح 100 فى 100 انا الى اتلخبط بس انت عارف انت الاستاذ
    بارك الله فيك

  7. هل الامر هذا
    Router(config)#access-list 101 permit icmp any any
    Router(config)#access-list 101 permit tcp any any
    Router(config)#access-list 101 permit udp any any

    مساوي لهذا الامر أو هناك اختلاف ..وما هو ؟

    Router(config)#access-list 101 permit iip any any

  8. تمام أخي الأمران متساويان تماما
    بس أنا أخترت الطريقة الأولى من أجل أن يكون كل شيء واضح

  9. بارك الله فيك يا بش مهندس شرح وافي جدا

  10. مشكور أخوي …شرح ممتاز جداً

    سؤالي:

    لو كان عندك VLAN10 و 20 و 30 و 40
    الـ 30 و 40 فيهم سيرفرات والـ 10 و 20 كلاينتس

    نريد الـ vlan30 ما يقدر أبداً يعمل أكسس لـ Vlan40 والعكس صحيح بس
    كلهم يقدروا يشوفوا Servers Vlans

    يعطيك العافية

  11. عادي أخي قم بعمل أكسس ليست من نوع Standard وأمنع الشبكة الخاصة بي 30 أن يتصلوا مع الـ 40 وبعدها قم بعمل أكسس ليست تسمح بها بكل شيء
    وانتهى الامر

  12. اشكرك اخي الكريم على هذا المثال الرائع
    ولكن لي سؤال … لماذا طبق out على الانترفيس
    مع العلم اني الextended هي اقرب للسورس اي ممكن تكون in
    اني جبرت ال in ولم تنجح ارجو التوضيح لان بصراحة حيرتني

    وربنا يبارك فيك

  13. إذا في حال أستخدمت In فأنت في هذه الحالة تمنع الشبكتين من الدخول إلى الروتر نهائيا لكن عندما نطبق الأكسس ليست على البورت المخصص لشبكة السيرفر فنحن في هذه الحالة نسمح للشبكات الباقية بالدخول والأتصال فيما بينها لكن نمنعهم من التوجه إلى الروتر

  14. اعتقد لم تفهمني بشكل جيد
    عند عمل الاكس ليست على الانترفيس inf0/0.2 وجعلها in على البورت
    من المفترض ان تعمل لاننا منعنا فقط الايبي او السبنيت الذي يحمل
    0.0.0.7 192.168.20.0 اي فقط الرينج من 1 الى 7 هل هذا صحيح ؟
    ولكن مع تجربتي على المثال المرفق للباكسيت تريسر والتغيير وجعل الاكسس لست على البورت inf0/0.2 هي in
    وجدت ان الvlan 3 و vllan4 تستطيع الوصول الى بورت 80 ويعمل الhttp … اي كأنما لا يوجد اكسس لست
    ولا اعرف ما هو السبب

    وأسف اذا سببت ازعاج واشكرك مره ثانية لسعت صدرك

  15. أخي انت عندك ألتباس كامل باللاب ياريت ترجع تقرأ الموضوع مرة آخرى
    البيورت 0/0.2 هو الجيت واي للفي لان 2 يعني ماذا سوف تستفيد من منع الشبكة 192.168.20.0/248 من الدخول من خلال هذا المنفذ والتى بالاساس لاتحوي هذه الشبكة ولاتحوي هذا العنوان
    اتمنى انك تعيد قراءة الموضوع حتى تفهمه بشكل أفضل

  16. اني اسف جداً حدث مع بعض الالتباس مع العلم اني فاهم الاكسس ليست بشكل جيد

    ممكن العمل على الانترفيس f0/0.3 بحالة in
    هذا قصدي من البداية … واعتقد هذا الخطوة اخفف على الرواتر من العمل على الانترفيس f0/0.2 بحالة out على ما اظن وعلى ما تعلمته من الامثلة
    اسف مره ثانية واشكرك جزيل الشكر لسعة صدرك

  17. وفقك الله اخي العزيز ايمن
    مجهود وشرح اكثر من رائع

  18. السلام عليكم
    شكرا لك على هذا الشرح الاكثر من ممتاز

  19. بارك الله بيك اخي العزيز ودمتم في رعاية الله وحفظه
    🙂

  20. عانك الله ووفقك فى الخير دائما وجزاك الخير الكثير

  21. ربنا يكرمك و جزاك الله كل خير………….الف مليوووووون شكر

  22. Thank you for this explaining , I’m new to this site and I like it so much.
    all the luck to u Engineers .

  23. انا عايزه مشروع تخرج ف الشبكات

  24. الشرح رائع جدا جدا ………… مشكور كثير اخي Ayman Alnaimi

  25. عبدالرحمن محمد

    بارك الله فيك وزادك

  26. جميل جزاك الله الجنة, برأيي تقوم بترجمة إحدى الكتب الانكليزية التي لها علاقة بالشبكات,مثل top-down network ربما تكون الفائدة اكبر لإغناء المحتولى العربي

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

x

‎قد يُعجبك أيضاً

حل مشكلة error 27850 عند تنصيب Cisco VPN Client

مقال سريع لتوثيق مشكلة صادفتني وقمت بحلها بخطوتان وهي تنصيب برنامج سيسكو الخاص بالـ VPN ...

حل مشكلة الشاشة البيضاء في برنامج Cisco configuration Professional

كما هو معلوم لدى خبراء سيسكو أن الآخيرة أتاحت عدة أدوات مساعدة للقيام بعملية الأعدادت ...

مقارنة بين أنظمة سيسكو IOS و IOS-XR و IOS-XE و NX-OS

في هذا المقال سوف نتعرف سوياً على جميع الأنظمة التشغيلية التى قامت سيسكو بتطويرها وهي ...