السلام عليكم أخى....,,,,
تابع معايا والموضوع هيبقى سهل ان شاء الله....
أول جزء فى السؤال بيقول....
– Users connecting to ASW1’s port must be authenticate before they are given access to the network. Authentication is to be done via a Radius server:
ودا معناه....ان ال Users اللى فى ASW1 لازم تعمل Authenticate قبل ما ت Access ال Network .....تمام كده....
اسأل نفسك...ايه ال Technology اللى تمكنى من ان أعمل كده....؟
هتلاقى ان انت لازم تستخدم ال AAA Server .....
وبيانات ال Radius Server موجوده عندك....
– Radius server host: 172.120.39.46
– Radius key: rad123
باقى عندك حاجة واحدة أخيرة,,,وهى أطبق الكلام دا فين.....؟
بص على الجزء دا من السؤال...
– Authentication should be implemented as close to the host device possible.
بس ياباشا....حلت نفسها.,,,يبقى أكيد هعمل ال Config على ASW1...
تعالى نعمل ال Config دلوقتى على ASW1 ....
ASW1(config)#aaa new-model
ASW1(config)#radius-server host 172.120.39.46 key rad123
ASW1(config)#aaa authentication dot1x default group radius
ASW1(config)#dot1x system-auth-control
كده أنا شغلت ال Radius Server خلاص.....
بس لازم نطبق ال Config دا ونشغله على ال Interface
ASW1(config)#interface fastEthernet 0/1
ASW1(config-if)#switchport mode access
ASW1(config-if)#dot1x port-control auto
كده تمام ياباشا.....وخلصت الجزء الأول من السؤال.
==========================================
نيجى للطلب التانى من السؤال.....
بيقول....
Packets from devices in the address range of 172.120.40.0/24 should be passed on VLAN 20.
ودا معناه...ان انت هتسمح لأى حد فى ال 172.120.40.0/24 ان هوا يكلم أى حد فى ال Vlan 20 ويبقى فى Connectivity مابينهم عادى.....
وقالك كمان بعدها....
– Packets from devices in any other address range should be dropped on VLAN 20.
يعنى...أى حد غير ال 172.120.40.0/24 يتعمل له Drop لو راح يكلم Vlan 20
وفى الأخر قالك....
– Filtering should be implemented as close to the server farm as possible.
ودا معناه ان ال Technology اللى هتستخدمها هتطبقها على DSW1 ....
**********
هنحل السؤال دا ازاى......؟
مفيش أى مشكلة......
أول حاجة.....هنعمل Access-List نسمح بيها ل 172.120.40.0/24
DSW1(config)#ip access-list standard 10
DSW1(config-ext-nacl)#permit 172.120.40.0 0.0.0.255
كده عملنا الجزء الأول....
بعد كده هنستخدم Feature ال Vlan Access-Map .......
DSW1(config)#vlan access-map EXAM10
وهخليها ت Match مع ال ACL اللى أنا عملتها.....
DSW1(config-access-map)#match ip address 10
وهقولها ال Action اللى هتتخذه بخصوص الشبكة دى .....
DSW1(config-access-map)#action forward
كده أنا عملت ال Permit ما بين الشبكة وال Vlan ......بس لسه لازم أقوله ان أى حد غير ال الشبكة دى يبقى يتعمل له Drop....
DSW1(config)#vlan access-map EXAM 20
DSW1(config-access-map)#action drop
أخر حاجة....تطبق ال Config دا....
DSW1(config)#vlan filter EXAM vlan-list 20
==========================================
وعلى فكرة....
ال Lab دا مش هتعرف تطبقه على ال GNS3 لأنه مش ب Support ال Feature دى.....
وأخيراًَ....
أتمنى أن أكون وضحتلك الموضوع دا كويس وتبقى فهمته على أكمل وجه ان شاء الله....
ولو فى أى استفسار أنا تحت أمرك فى أى وقت....
وبالتوفيق ان شاء الله.....
يارب.
المفضلات