Announcement

**tranmyphuc** · 28-11-2007, 08:50 AM

Khi cần dùng tính năng Swich

=> Mặc định trên MultiLayer Switch

ùng Routing thì switchport sang mode khác.

=> dùng câu lệnh (config-if)# no switchport.

**godfather** · 09-12-2007, 03:28 AM

Một tình huống rất cơ bản là mình không muốn cho traffic qua lại giữa các Office Department, nhưng vẫn muốn tất cả đều có thể sử dụng các tài nguyên chung (internet, Server Zone) ...

**tranmyphuc** · 09-12-2007, 11:08 AM

Bạn có thể chặn bằng extended-accesslist

**fatman** · 16-08-2008, 01:02 AM

Bạn thử cách này xem.
VLAN nào muốn cô lập không cho giao tiếp với các VLAN khác thì bạn không gán IP cho Vlan Interface.
Vậy VLAN này sẽ không tham gia vào process routing của Switch Layer3.

Không biết ý bạn đúng vậy không? Hay là bạn muốn VLAN này không trao đổi với các VLAN khác nhưng vẫn có gateway để đi ra mạng khác.

Thân

**blue_sky17** · 16-08-2008, 11:48 AM

bạn fatman ơi !
Theo mình nghĩ làm gì có vụ không đặt ip cho vlan interface thì nó sẽ không tham gia vào process routing của switch layer 3 bạn .MÌnh đặt ip cho interface vlan chỉ dùng cho mục đích truy nhập từ xa nó thui chứ .Bạn không đặt vlan interface thì nó hoạt động bình thường mà !!!

**wlansecu** · 16-08-2008, 06:03 PM

Originally posted by xitrumdl View Post

thực sự, mình chưa thấy giải pháp nào tốt cho vấn đề này cả , nếu disable chức năng định tuyến của Switch layer 3 thì lúc đó con Switch này " sống cũng không có ý nghĩa". Nếu đặt ra trường hợp một lúc nào đó bạn cần sử dụng chức năng này thì sao?
Hiện tại mình đang sử dụng VACL, cũng không dài như mình tưởng. Nhưng hy vọng là sẽ có một giải pháp hay hơn.
Cảm ơn các bạn đã góp ý kiến.

Nói thật là em không hiểu ông này muốn gì.
Chỉ là Disable layer 3, rồi khi nào cần thì enable nó lên, thì lại có quả trên.
Thà vứt xừ con này đi, ra chợ trời mua mấy cái HUB về mà dùng.
Bó tay cách suy nghĩ của ông bạn.

**conan1412v** · 16-08-2008, 08:14 PM

Originally posted by wlansecu View Post

Nói thật là em không hiểu ông này muốn gì.
Chỉ là Disable layer 3, rồi khi nào cần thì enable nó lên, thì lại có quả trên.
Thà vứt xừ con này đi, ra chợ trời mua mấy cái HUB về mà dùng.
Bó tay cách suy nghĩ của ông bạn.

ko hiểu lắm $$$ thế...để làm gì...nhỉ....!:105:

**conmeobeophi** · 16-08-2008, 10:17 PM

Originally posted by Nokia6610 View Post

Theo tôi thì dùng lệnh no ip routing
Đã thử trên con 3550 thấy ngon

câu trả lời này hay nè, trên switch layer 3 nếu không đánh lệnh ip routing thì trong bảng route sẽ không có cái route nào hết mặc dù có đặt ip cho interface vlan:)

**nguyenminhman** · 21-08-2008, 05:37 PM

Dem con Sw L3 qua minh doi cho con SW l2 la` xong :D!

**godfather** · 07-02-2009, 11:01 PM

Yêu cầu:

- Các VLAN user không thể truy nhập vào VLAN user khác, hoặc trường hợp phức tạp hơn: các VLAN user có quyền cao hơn được phép truy nhập vào các nhóm quyền thấp ..
- Các VLAN user vẫn có thể truy cập Internet VLAN
- Các VLAN user vẫn có thể truy cập Server VLAN
- ....

Như vậy rõ rành không thể bỏ IP Routing đi được

Cách giải quyết

1. Vẫn để L3 Routing, nhưng sử dụng các biện pháp phân quyền ở mức hệ điều hành để hạn chế truy nhập (biện pháp này khác phổ biến)

2. Chặn tuyệt đối ở L3

- Với các mạng nhỏ, ít VLAN -> không có cách gì hơn là VACL, không quá dài như tưởng tượng.

- Với các mạng lớn, nhiều VLAN -> có thể sử dụng các dòng Core Switch lớn có Fw module. Việc hạn chế truy nhập sẽ được thực hiện dễ dàng hơn trên FW.

**thesun103** · 08-02-2009, 02:21 PM

Các bạn nghĩ giải pháp Private Vlan thì sao ?
Internet VLAN và Server VLAN sẽ cho vào vlan Primary. (vì port primiscuous thì vlan isolate hay community đều có thể thấy)
Giữa các vlan không muốn thấy nhau thì set thuộc tính Community cho từng VLAN. Lúc đó chỉ những port cùng vlan mới giao tiếp với nhau được.

**socolak50** · 06-05-2009, 10:59 PM

Originally posted by fatman View Post

Bạn thử cách này xem.
Hay là bạn muốn VLAN này không trao đổi với các VLAN khác nhưng vẫn có gateway để đi ra mạng khác.

Thân

không muốn VLAN trao đổi với nhau nhưg vẫn muốn có gateway để đi ra internet thì sao hả bạn:54::54::54::54::54::54:

**vtelezoo** · 26-12-2009, 11:59 PM

Originally posted by godfather View Post

Yêu cầu:

- Các VLAN user không thể truy nhập vào VLAN user khác, hoặc trường hợp phức tạp hơn: các VLAN user có quyền cao hơn được phép truy nhập vào các nhóm quyền thấp ..
- Các VLAN user vẫn có thể truy cập Internet VLAN
- Các VLAN user vẫn có thể truy cập Server VLAN
- ....

Như vậy rõ rành không thể bỏ IP Routing đi được

Cách giải quyết

1. Vẫn để L3 Routing, nhưng sử dụng các biện pháp phân quyền ở mức hệ điều hành để hạn chế truy nhập (biện pháp này khác phổ biến)

2. Chặn tuyệt đối ở L3

- Với các mạng nhỏ, ít VLAN -> không có cách gì hơn là VACL, không quá dài như tưởng tượng.

- Với các mạng lớn, nhiều VLAN -> có thể sử dụng các dòng Core Switch lớn có Fw module. Việc hạn chế truy nhập sẽ được thực hiện dễ dàng hơn trên FW.

Đồng ý! Nhưng bạn nói cụ thể hơn nữa đi! Vẫn chưa hiểu lắm!

**sinhnn** · 09-10-2010, 01:53 AM

dung la k do duoc cau nay
neu da connected thi duong nhien phai thay nhau tren routing
k dung ACLs thi chiu

Announcement

Vấn đề định tuyến giữa các vlan

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment