3
Konfiguration von ACLs bei Zyxel GS1910-24
Hallo, ich hoffe ich habe nicht einen vorherigen Post übersehen und stelle hiermit eine Frage erneut.
Zu meinem Problem. Ich versuche bei oben genanntem Switch in einem Netzwerk zwei Bereich von einander zu trennen. Netzteil A und B sollen generell nicht miteinander Kommunizieren. Im Netzteil B befindet sich der WLAN Router des ISP, sowie Netzwerkdrucker und Rechner. In Netzteil A befinden sich Rechner und Multimediasysteme. Vom Netzteil A soll z.B. über das WLAN im Netzteil B gedruckt werden können. Es dürfen aber nicht die Rechner im Netz B auf die Rechner im Netz A zugreifen. Die Rechner im Netz A sollen aber auf die Rechner im Netz B zugreifen dürfen (Nur Kabelgebunden, also nicht über WLAN).
Das mal als grober Rahmen des Szenarios.
Bei dem Switch gibt es in der Weboberfläche die Möglichkeit ACL zu Konfigurieren. Nun verstehe ich hier das Prinzip nicht richtig. Gibt es hier nur eine ACL mit mehreren Einträgen? Ich gebe beim erstellen des Eintrages den Eingangsport an, soll aber laut Beschreibung später bei dem eigentlichen Port noch mal die Nummer der Policy eintragen. Kann ich also pro Port nur eine Regel festlegen?
Wäre schön, wenn mal jemand ein Konfigurationsbeispiel für mich hätte.
Ich hoffe ich habe alles verständlich geschildert, sonst bitte einfach noch mal Nachfragen.
Danke schon mal!
http://prodotti.zyxel.it/USERSGUIDE/ZYXGS-1910-SERIE.pdf
--> der link zur Anleitung
Zu meinem Problem. Ich versuche bei oben genanntem Switch in einem Netzwerk zwei Bereich von einander zu trennen. Netzteil A und B sollen generell nicht miteinander Kommunizieren. Im Netzteil B befindet sich der WLAN Router des ISP, sowie Netzwerkdrucker und Rechner. In Netzteil A befinden sich Rechner und Multimediasysteme. Vom Netzteil A soll z.B. über das WLAN im Netzteil B gedruckt werden können. Es dürfen aber nicht die Rechner im Netz B auf die Rechner im Netz A zugreifen. Die Rechner im Netz A sollen aber auf die Rechner im Netz B zugreifen dürfen (Nur Kabelgebunden, also nicht über WLAN).
Das mal als grober Rahmen des Szenarios.
Bei dem Switch gibt es in der Weboberfläche die Möglichkeit ACL zu Konfigurieren. Nun verstehe ich hier das Prinzip nicht richtig. Gibt es hier nur eine ACL mit mehreren Einträgen? Ich gebe beim erstellen des Eintrages den Eingangsport an, soll aber laut Beschreibung später bei dem eigentlichen Port noch mal die Nummer der Policy eintragen. Kann ich also pro Port nur eine Regel festlegen?
Wäre schön, wenn mal jemand ein Konfigurationsbeispiel für mich hätte.
Ich hoffe ich habe alles verständlich geschildert, sonst bitte einfach noch mal Nachfragen.
Danke schon mal!
http://prodotti.zyxel.it/USERSGUIDE/ZYXGS-1910-SERIE.pdf
--> der link zur Anleitung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 292059
Url: https://administrator.de/contentid/292059
Printed on: April 18, 2024 at 03:04 o'clock
3 Comments
Latest comment
Netzteil A und B sollen generell nicht miteinander Kommunizieren.
Eigentlich kinderleicht.... Wenn du einen L3 Switch hast, dann konfigurierst du schlicht und einfach keine IP Adressen in diese VLANs und aus ists mit der Kommunikation !Ist es eh nur ein simpler L2 VLAN Switch sind die VLANs so oder so vollkommen getrennt. Kommunikation wäre wenn dann nur extern mit Router oder FW möglich. Siehe Tutorial hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Vom Netzteil A soll z.B. über das WLAN im Netzteil B gedruckt werden können. Es dürfen aber nicht die Rechner im Netz B auf die Rechner im Netz A zugreifen.
OK, das macht man dann kinderleicht mit einer ACL sofern der Switch ein L3 Switch ist. Das erzwingt dann auch wieder IP Adressen auf dem Switch in jedem VLAN, da der Switch ja dann routen muss zwischen den Netzen A und B.Grundlagen zu so einem Design findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist ein ziemlich banales Standardszenario....
Nun verstehe ich hier das Prinzip nicht richtig.
WAS genau verstehst du denn daran nicht ?? Hier gibt es immer 2 einfache Grundregeln:- ACL greifen nur inbound also für alle Pakete die IN cen Switch reingehen ! (Nicht outbound)
- "First match wins..." Heist der erste positive Hit bewirkt das folgende Regeln in der ACL nicht mehr abgearbeitet werden. Reihenfolge zählt hier also !!
Gibt es hier nur eine ACL mit mehreren Einträgen?
Ja, das ist bei allen Herstellern so !Kann ich also pro Port nur eine Regel festlegen?
Nein, nur eine ACL Regel pro Port. Du kannst aber verschiedene ACL generieren. Nur pro Port dann nur eine ACL.Wäre schön, wenn mal jemand ein Konfigurationsbeispiel für mich hätte.
Für deine Zyxel Gurke oder allgemein ??Bei Cisco hiesse z.B. eine Regel so:
access-list 100 permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0
Das lässt alle Pakete vom IP Netz 192.168.1.0 /24 zum IP Netz 172.16.1.0 /24 passieren und blockt den ganzen Rest.
access-list 100 permit ip 192.168.1.0 255.255.255.0 host 172.16.1.100
Lässt z.B. alle Clients im Netz 192.168.1.0 /24 auf dem Drucker 172.16.1.100 drucken...
access-list 100 permit tcp 192.168.1.0 255.255.255.0 host 172.16.1.100 eq 80
Lässt z.B. alle Clients im Netz 192.168.1.0 /24 nur per TCP 80 (HTTP) auf den Host 172.16.1.100
usw. usw. usw.
Eigentlich kinderleicht wenn man sich mal vor Augen führt wie sich IP Pakete bewegen im Netz
@aqui
Danke erst mal für die Antwort.
Sie hilft mir nur leider bedingt weiter. Also, dass die Regel hier bei dem ZyXEL nur inbound anzuwenden sind konnte ich mir schon fast denken. Ich gehe mal davon aus, dass dieser SWITCH auch nur Standard ACLs kann. Ich habe aber meinem Anschein nach nur eine ACL in die ich Regeln schreiben kann. Diesen Policy's kann ich id's vergeben. Später soll ich nach der Anleitung dem Port sagen, welche id auf ihn zutrifft. Demnach kann ich ihm ja aber pro Port nur eine Regel geben, was keinen Sinn macht. Die Anleitung lässt sich da nicht weiter aus. Mit VLan's möchte ich in diesem Bereich nicht arbeiten, weil ich kein InterVlan Routing für z. B. das Drucken umsetzen kann, da der SWITCH ein manageable L2 Switch ist. Die Cisco Syntax hilft mir hier leider nicht weiter.
Sonst noch einen Lösungsansatz für mich?
Danke erst mal für die Antwort.
Sie hilft mir nur leider bedingt weiter. Also, dass die Regel hier bei dem ZyXEL nur inbound anzuwenden sind konnte ich mir schon fast denken. Ich gehe mal davon aus, dass dieser SWITCH auch nur Standard ACLs kann. Ich habe aber meinem Anschein nach nur eine ACL in die ich Regeln schreiben kann. Diesen Policy's kann ich id's vergeben. Später soll ich nach der Anleitung dem Port sagen, welche id auf ihn zutrifft. Demnach kann ich ihm ja aber pro Port nur eine Regel geben, was keinen Sinn macht. Die Anleitung lässt sich da nicht weiter aus. Mit VLan's möchte ich in diesem Bereich nicht arbeiten, weil ich kein InterVlan Routing für z. B. das Drucken umsetzen kann, da der SWITCH ein manageable L2 Switch ist. Die Cisco Syntax hilft mir hier leider nicht weiter.
Sonst noch einen Lösungsansatz für mich?
