RE: Vấn đề định tuyến giữa các vlan

em xitrum nên dùng switch Layer (SMI) là đựơc. Nếu swith của em đang là EMI thì chuyển sang SMI mà dùng.

RE: Vấn đề định tuyến giữa các vlan

Hi Anh Robedan!!!
Theo như Em biết thì người ta thường hay nâng cấp từ SMI lên EMI (Bởi vì EMI se hỗ trợ nhiều tính năng ở layer 3 hơn). Trong khi đó, ý Em muốn hỏi là:
- Mạng 172.25.20.0 ko thấy mạng 172.25.23.0 và ngược lai... Nói chung mỗi subnet là một mạng riêng biêt, không mạng nào nhìn thấy mạng nào. Nhưng trên Switch này thì khi đặt các intvlan sẽ xảy ra hiện tượng là
C 172.25.20.0 is directly connected, Vlan10
C 172.25.23.0 is directly connected, Vlan13
C 172.25.22.0 is directly connected, Vlan12
C 172.25.17.0 is directly connected, Vlan7
C 172.25.16.0 is directly connected, Vlan 8
các mạng được kết nối trực tiếp. Do đó, mạng 172.25.20.0 sẽ có thể nhìn thấy mạng 172.25.23.0... và ngược lai.
Nếu ta sử dụng PVlan hay VACL hoặc ACL thì rất mất công mà ko hiệu quả.Vậy có cách nào để thực hiện yêu cầu trên hay ko??

RE: Vấn đề định tuyến giữa các vlan

nêu em không cho dùng ACL bình thường thì không còn cách nào hết.

Re: Vấn đề định tuyến giữa các vlan

Bạn có thể vào trang web www.cisco.com để tìm các bài configurating về lệnh "VLAN Filter". Mình nghĩ nó có thể giúp được cho bạn.

RE: Vấn đề định tuyến giữa các vlan

Vlan filter có phải là vlan access control list không? Nếu là phải thì không đáp ứng được yêu cầu của em xitrumdl đưa rạ. Em này không cho dùng vlan acl.

RE: Vấn đề định tuyến giữa các vlan

Đối với filter Vlan có 2 cách:RACL và VACL
RACL: Dùng để lọc các packet giữa các vlan
VACL: Dùng để lọc các packet trong cùng Vlan
----------------------------------------------------------
Khi làm việc trên Switch layer 3. Ta biết rằng Switch này sẽ hỗ trợ chức năng routing giữa các Vlan.
Yêu cầu đặt ra:
Tạo 3 vlan cho 3 phòng ban, mỗi phòng ban là một subnet riêng.
vlan 10: Phòng Kỹ Thuật_interface vlan 10:172.25.20.1/24
vlan 12: Phòng Thiết Kế _interface vlan 13:172.25.27.1/24
vlan 13: Phòng Đồ Họa _interface vlan 12:172.25.23.1/24
Do yêu cầu về bảo mật các vlan này phải là những subnet riêng biệt, một host bất kì trong vlan này không được truy cập vào một host bất kì trong vlan khác.
tuy nhiên, khi sh ip route
C 172.25.20.0 is directly connected, Vlan10
C 172.25.23.0 is directly connected, Vlan13
C 172.25.27.0 is directly connected, Vlan12
chính vì kết nối trực tiếp, cho nên chẳng những các host trong một vlan thấy nhau, mà các host ở các vlan khác cũng có thể thấy nhau -> có vlan hay ko vlan cũng chẳng khác nhau.
chính vì vậy. Để đáp ứng yêu cầu trên. Ta dùng RACL hoặc VACL
--------------------------------------------------
Giải pháp
1. RACL
access-list 101 deny ip 172.25.23.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 101 deny ip 172.25.27.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 102 deny ip 172.25.20.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 102 deny ip 172.25.27.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 103 deny ip 172.25.20.0 0.0.0.255 172.25.27.0 0.0.0.255
access-list 103 deny ip 172.25.23.0 0.0.0.255 172.25.27.0 0.0.0.255
int vlan 10
ip access-group 101 in
int vlan 12
ip access-group 103 in
int vlan 13
ip access-group 102 in
2.VACL
access-list 101 permit ip 172.25.20.0 0.0.0.255 172.25.20.0 0.0.0.255
access-list 101 permit ip 172.25.27.0 0.0.0.255 172.25.27.0 0.0.0.255
access-list 101 permit ip 172.25.23.0 0.0.0.255 172.25.23.0 0.0.0.255
access-list 104 permit ip 172.25.0.0 0.0.255.255 172.25.0.0 0.0.255.255
access-list 105 permit ip any any
*vlan access-map temp 5
action forward
match ip address 101
vlan access-map temp 10
action drop
match ip address 104
vlan access-map temp 20
action forward
match ip address 105
vlan filter temp vlan-list 10 , 12 , 13
---------------------------------------------------------------
cả hai phuong pháp trên thực là [fade:03772d9971]không hay[/fade:03772d9971] chút nào, nếu Ta có khoảng 100 subnet thì sao??có thể làm bao nhiêu Access-list đẩy Cho dù Bạn có khả năng tính wildcard rất giỏi thì giải pháp trên thực sự chưa tối ưu.

RE: Vấn đề định tuyến giữa các vlan

Theo tôi thì dùng lệnh no ip routing
Đã thử trên con 3550 thấy ngon

RE: Vấn đề định tuyến giữa các vlan

Mục đích chính của SW layer-3 là để Routing giữa các VLAN.

Nếu bạn ko muốn các VLAN thấy nhau thì mua SW layer-3 làm gì cho tốn tiền.

RE: Vấn đề định tuyến giữa các vlan

DIsable cái tính năng tự động routing của con Switch layer3 đi là xong

RE: Vấn đề định tuyến giữa các vlan

thực sự, mình chưa thấy giải pháp nào tốt cho vấn đề này cả , nếu disable chức năng định tuyến của Switch layer 3 thì lúc đó con Switch này " sống cũng không có ý nghĩa". Nếu đặt ra trường hợp một lúc nào đó bạn cần sử dụng chức năng này thì sao?
Hiện tại mình đang sử dụng VACL, cũng không dài như mình tưởng. Nhưng hy vọng là sẽ có một giải pháp hay hơn.
Cảm ơn các bạn đã góp ý kiến.

RE: Vấn đề định tuyến giữa các vlan

Minh nghi la neu co nhu cau routing tren switch thi dung switch layer 3. Neu khong thi mua quach con switch nao ho tro vlan sau do neu can ket noi vlan nay sang vlan kia, voi dieu kien la so luong it nha, thi mua cai card mang gan vao mot pc sau do dung pc route. Ngon bo re

RE: Vấn đề định tuyến giữa các vlan

Minh dong y voi dlxitrum, la pp do cung ko hay voi 1 mang co nhieu subnet. Con nokia6610 voi lenh no ip routing cung tuyet, nhung neu the thi cha co y nghia gì chi bang dung con layer 2 vua do ton tien lai dung theo bai toan.

Điều lo lắng của bạn là hoàn toàn có cơ sở. Mình đang config một network với trên 150 VLAN :(, không hiểu các bạn có giải pháp nào mới cho vấn đề này không ?

Các bạn nghĩ thế nào khi một Port của MultiLayer Switch có thể làm ở 2 chế độ.
Switching (switch) và Routing (Router).
Khi cần dùng tính năng Swich, bạn cần Switchport nó sang mode khác
còn khi dùng Routing thì switchport sang mode khác.