من فترة ليست ببعيدة سألني أحد الأعضاء الأفاضل سؤال في غاية الأهمية وهو لماذا نستخدم VLAN اذا كنا سوف نربطها بواسطة Inter-Vlan او الروترات بمعنى آخر لماذا اذا كنا نعزل المستخدمين بواسطة VLAN نعود مرة تانية لربطهم مع بعض بواسطة الروتر
وأحببت أن اخصص موضوع حول هذه الفائدة
والموضوع بشكل عام له هدفين الاول فهم الأستفادة الكبيرة من Inter-Vlan وفائدة ربط ال Vlan مع بعض والثاني درس عملي حول الفي لان والأكسس ليست والاوامر اللازمة وسوف أبدا الشرح بهذه الصورة
كما هو ظاهر عندكم انا قمت بتقسيم المستخدمين الموجودين على الشبكة الى صنفين الازرق والاحمر
بالأضافة وجود سيرفر موصول على نفس الشبكة وكما نعلم جميعا ان الاتصال بين هذه الاجهزة وبما فيها السيرفر يتم بواسطة السويتش وبشكل مباشر اي بدون تدخل الروتر طيب لو قررت انا الان افصل كل مجموعة على حده أي (الازرق , الأحمر , السيرفر ) سوف تقول لي استخدم الـ VLAN طيب لو قلت لك اني أريد ان أسمح للمجموعة الحمراء بالاتصال مع السيرفر سوف تقول لي استخدم ال Inter-Vlanاو الروتر وذلك بعملSub Interface
لكن سؤالي الأهم لو قلت لك اني اريد ان أسمح لكل الاجهزة على الشبكة بالاتصال بالسيرفر واريد ان أمنع عن الأجهزة الزرقاء الاتصال بالسيرفر عن طريق البورت مثلا وهو محور حديثنا في هذا الموضوع وهو كيف امنع جهاز معين أو بورت معين أو خدمة معينة بالأتصال بالآخر وانا في نفس الشبكة امنع المستخدمين من الاتصال بواسطة بورت معين مع بعضهم البعض أو أمنع الاتصال بالتلنت مع السيرفر والأمثلة كثيرة جدا
لنبدأ الشغل العملي وعلى بركة الله وسوف أطبق فكرة منع الاجهزة الحمراء من الاتصال مع السيرفر من خلال البورت 80 و 23(HTTP & TELNET)
الخطوات هي كالآتي
الخطوة الاولى
توزيع الايبيات سوف يكون على الشكل الاتي
ومن هذه التوزيعة نستطيع ان نلاحظ ان كل قسم في شبكة مختلفة
الخطوة الثانية
سوف نقوم بأنشاء Vlan لكل شبكة من خلال السويتش
Switch#vlan database
Switch(vlan)#vlan 2 name Green
VLAN 2 added
Name: Green
Switch(vlan)#vlan 3 name Red
VLAN 3 added
Name: Red
Switch(vlan)#vlan 4 name Blue
VLAN 4 added:
Name: Blue
Switch(vlan)#exit
APPLY completed.
Exiting….
Switch#
الخطوة الثالثة
اضافة البورتات المخصصة لكل قسم فيال Vlan المخصصة لهم
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#interface range fa 0/1 , fa 0/4 , fa 0/5
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#interface range fa 0/2 , fa 0/3 , fa 0/6 , fa 0/7
Switch(config-if-range)#switchport access vlan 4
Switch(config-if-range)#exit
وهذه الصورة توضح النتيجة النهائية لهذه الخطوات
الخطوة الرابعة
ربط السويتش مع الروتر من خلال ال Trunk Port
Switch(config-if)#switchport mode trunk
وبهذه الخطوة نكون قد أعددنا السويتش بشكل كامل
الخطوة الخامسة
أعدادا الروتر وهذا يشمل اعداد
Sub Interface & Encapsulation dot1Q
Router(config)#interface fastEthernet 0/0
Router(config-if)#no ip address
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0.2
Router(config-subif)#encapsulation dot1Q 2
Router(config-subif)#ip address 192.168.20.17 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.3
Router(config-subif)#encapsulation dot1Q 3
Router(config-subif)#ip address 192.168.20.1 255.255.255.248
Router(config-subif)#exit
Router(config)#interface fastEthernet 0/0.4
Router(config-subif)#encapsulation dot1Q 4
Router(config-subif)#ip address 192.168.20.9 255.255.255.248
Router(config-subif)#exit
صورة توضح كل الايبيات على الشبكة
طبعا كل هذه الخطوات هي لأعداد ال Vlan & Routing between Vlan
الخطوة الاخيرة
تجهيز الأكسس ليست لمنع المجموعة الحمراء(Vlan3)من الاتصال بالسيرفر (Vlan2) من خلال ال Http & Telnet
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 80
Router(config)#access-list 101 deny tcp 192.168.20.0 0.0.0.7 192.168.20.16 0.0.0.7 eq 23
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
للانترفيس المخصص واخيرا اقوم بأضافة الاكسس ليست (Vlan2)
Router(config-subif)#ip access-group 101 out
Router(config-subif)#exit
Loading ...
مشكور استاذي الكريم
شرح ما شاء الله كافي و وافي
درس مهم….خاصا ان له اسئلة كثيرة مذكورة في الامتحانات السابقة لسيسكو
اشكرك مرة اخرى
قيم التعليق :
0 
0
بارك الله فيك بس يا ريت تجمع الحجات الحلوة دى و تحطهنا فى كتاب علشان الواحد يتدرب عليها و نتعلم منك يا استاذنا
قيم التعليق :
0 
0
ممتاز اخي الحبيب
ومدونه اكثر من رائعه
قيم التعليق :
0 
0
هلا بالاستاذ ياسر نورت المدونة
قيم التعليق :
0 
0
ان شاء الله اخي تيمور أقوم بعمل صفحة خاصة فيها كل الشروحات
على هيئة كتب الكترونية
وشكرا لك على المرور
قيم التعليق :
1 
0
هلا اخي ابو حواس
ان شاء الله تكون استفدت من الشرح
وانتظر مني الكثير من الشروحات
قيم التعليق :
0 
0
شرح ما شاء الله رآآئع..
وواستفدت منة كثير والله ..
بس الربط حق الملف مو شغال..
يعطيك الف الف عافية..
قيم التعليق :
0 
0
تم تعديل الرابط أخي العزيز
قيم التعليق :
0 
0
اخى العزيز سوالين لو سمحت
لاحظت انك لم تضع الامر switchport mode access هو بيعرفة باى ديفولت
ثانيا لاحظت ايضاء انك لم تحدد اتجاة ال in فى الاكسس ليست هل دة ممكن عادى ان انا مححددش in و اكتفى out
شكرا
قيم التعليق :
0 
0
بالنسبة للسؤال الأول
هذا الأمر ليس من الضروري وضعه أنا ممكن اضعه على البورت المتصل بي
end device فقط
وبالنسبة للسؤال الثاني
مفيش في الأكسس ليست in و Out
هناك أما in والمقصود فيها الترافيك الداخل الى الروتر
أو ال Out وهو الترافيك الخارج من البورت
قيم التعليق :
0 
0
كلامك صحيح 100 فى 100 انا الى اتلخبط بس انت عارف انت الاستاذ
بارك الله فيك
قيم التعليق :
0 
0
هل الامر هذا
Router(config)#access-list 101 permit icmp any any
Router(config)#access-list 101 permit tcp any any
Router(config)#access-list 101 permit udp any any
مساوي لهذا الامر أو هناك اختلاف ..وما هو ؟
Router(config)#access-list 101 permit iip any any
قيم التعليق :
0 
0
تمام أخي الأمران متساويان تماما
بس أنا أخترت الطريقة الأولى من أجل أن يكون كل شيء واضح
قيم التعليق :
0 
0
بارك الله فيك يا بش مهندس شرح وافي جدا
قيم التعليق :
0 
0
مشكور أخوي …شرح ممتاز جداً
سؤالي:
لو كان عندك VLAN10 و 20 و 30 و 40
الـ 30 و 40 فيهم سيرفرات والـ 10 و 20 كلاينتس
نريد الـ vlan30 ما يقدر أبداً يعمل أكسس لـ Vlan40 والعكس صحيح بس
كلهم يقدروا يشوفوا Servers Vlans
يعطيك العافية
قيم التعليق :
0 
0
عادي أخي قم بعمل أكسس ليست من نوع Standard وأمنع الشبكة الخاصة بي 30 أن يتصلوا مع الـ 40 وبعدها قم بعمل أكسس ليست تسمح بها بكل شيء
وانتهى الامر
قيم التعليق :
0 
0
اشكرك اخي الكريم على هذا المثال الرائع
ولكن لي سؤال … لماذا طبق out على الانترفيس
مع العلم اني الextended هي اقرب للسورس اي ممكن تكون in
اني جبرت ال in ولم تنجح ارجو التوضيح لان بصراحة حيرتني
وربنا يبارك فيك
قيم التعليق :
0 
0
إذا في حال أستخدمت In فأنت في هذه الحالة تمنع الشبكتين من الدخول إلى الروتر نهائيا لكن عندما نطبق الأكسس ليست على البورت المخصص لشبكة السيرفر فنحن في هذه الحالة نسمح للشبكات الباقية بالدخول والأتصال فيما بينها لكن نمنعهم من التوجه إلى الروتر
قيم التعليق :
0 
0
اعتقد لم تفهمني بشكل جيد
عند عمل الاكس ليست على الانترفيس inf0/0.2 وجعلها in على البورت
من المفترض ان تعمل لاننا منعنا فقط الايبي او السبنيت الذي يحمل
0.0.0.7 192.168.20.0 اي فقط الرينج من 1 الى 7 هل هذا صحيح ؟
ولكن مع تجربتي على المثال المرفق للباكسيت تريسر والتغيير وجعل الاكسس لست على البورت inf0/0.2 هي in
وجدت ان الvlan 3 و vllan4 تستطيع الوصول الى بورت 80 ويعمل الhttp … اي كأنما لا يوجد اكسس لست
ولا اعرف ما هو السبب
وأسف اذا سببت ازعاج واشكرك مره ثانية لسعت صدرك
قيم التعليق :
0 
0
أخي انت عندك ألتباس كامل باللاب ياريت ترجع تقرأ الموضوع مرة آخرى
البيورت 0/0.2 هو الجيت واي للفي لان 2 يعني ماذا سوف تستفيد من منع الشبكة 192.168.20.0/248 من الدخول من خلال هذا المنفذ والتى بالاساس لاتحوي هذه الشبكة ولاتحوي هذا العنوان
اتمنى انك تعيد قراءة الموضوع حتى تفهمه بشكل أفضل
قيم التعليق :
0 
0
اني اسف جداً حدث مع بعض الالتباس مع العلم اني فاهم الاكسس ليست بشكل جيد
ممكن العمل على الانترفيس f0/0.3 بحالة in
هذا قصدي من البداية … واعتقد هذا الخطوة اخفف على الرواتر من العمل على الانترفيس f0/0.2 بحالة out على ما اظن وعلى ما تعلمته من الامثلة
اسف مره ثانية واشكرك جزيل الشكر لسعة صدرك
قيم التعليق :
0 
0
وفقك الله اخي العزيز ايمن
مجهود وشرح اكثر من رائع
قيم التعليق :
0 
0
بارك الله فيك شرح ممتاز
قيم التعليق :
0 
0
السلام عليكم
شكرا لك على هذا الشرح الاكثر من ممتاز
قيم التعليق :
0 
0
thank you
قيم التعليق :
0 
0
بارك الله بيك اخي العزيز ودمتم في رعاية الله وحفظه
قيم التعليق :
0 
0
عانك الله ووفقك فى الخير دائما وجزاك الخير الكثير
قيم التعليق :
0 
0