سؤال في سيناريو للسويتشات لعمل VACL

[attyah]

السلام عليكم ورحمة الله وبركاته


أخواني السيناريو كالتالي:

لدي سويتش 3550 وهو layer 3 .. ولدي سويتش 2950 وهو layer2 ، ربطت بينهم وعملت على السويتش ا لـ layer3 كل الـ vlans وطبقتها على السويتش الثاني وكل شي تمام التمام،،

الآن، الـ vlans كالتالي:
vlan 10
ip add 10.10.10.1 255.255.255.0
vlan 20
ip add 10.10.20.1 255.255.255.0
vlan 30
ip add 10.10.30.1 255.255.255.0

اريد ان اجعل vlan 20 لا يرى الـ vlans الباقية.. في حين الـ vlan 10,30 يروا بعضهم ..

عملت التالي في السويتش الـ layer3

ip extended-list Block_VLAN20
deny ip 10.10.10.0 0.0.0.255 any
deny ip 10.10.30.0 0.0.0.255 any
permit ip any any

interface vlan 20
ip access-group Block_VLAN20 in | out


ولكن ولا نفع

هل في أحد معاه الطريقة لعمل block vlan ما تشوف البقية في حين وجود routing between vlans عن طريق الـ layer3 سويتش


ارجو ان تكون وصلت الصورة، وفي حالة احتاج احد توضيح فليخبرني فيه

[anduril87]

ممكن عن طريق private vlan
vlan 20 isolated
vlan10.30 community
ونخليهم كلهم في primary vlan مثلا vlan 50

[attyah]

للأسف الـ primary vlan ما تنفع على السويتش 3550 .. هي فقط على 3750 ، 4000 ، 6500

[anduril87]

ممكن VACL ?!!

access-list 1 permit 10.10.20.0 0.0.0.255

Vlan access-map TEST 10
match ip address 1
action forward

ونسيبها كده لانه ال default انه هيعمل deny any or drop any

نطبقها علي ال vlan

vlan filter TEST vlan-list 20

[attyah]

ممكن VACL ?!!

access-list 1 permit 10.10.20.0 0.0.0.255

Vlan access-map TEST 10
match ip address 1
action forward

ونسيبها كده لانه ال default انه هيعمل deny any or drop any

نطبقها علي ال vlan

vlan filter TEST vlan-list 20

شكرا أخي، بس أنا اللي أريده أني احجب vlan20 عن بقية الـ vlans بس.

[attyah]

الحمد لله مشى الحال لما عملتها بـ standard access list كالتالي:

CORE_SW(config)# ip access-list standart 10
CORE_SW(config-std-nacl)# deny 10.10.10.0 0.0.0.255
CORE_SW(config-std-nacl)# deny 10.10.30.0 0.0.0.255
CORE_SW(config-std-nacl)# permit any
CORE_SW(config-std-nacl)#exit

CORE_SW(config)# interface vlan 20
CORE_SW(config-if)# ip access-group 10 out