10
Access Control Lists - Cisco SG550x
Moin Zusammen,
ich versuch mich gerade daran auf nem Cisco SG550x ACL einzurichten.
Es gibt 11 VLAN, die aktuell noch untereinander kommunizieren können. Das möchte ich jetzt ändern.
Alle sollen Zugriff auf das Default-VLAN haben, da hier die Server, die Internetverbindung und Drucker drin vertreten sind.
Die anderen VLANs 10,20,30,40,50,60,70,80,90,100 sollen untereinander nicht kommunizieren können.
Ich hab mich jetzt bissel durchs Forum geschlagen und auch im Web umgesehen, aber so richtig hats noch nicht Klick gemacht.
Jemand nen Tipp?
Grüße
x
ich versuch mich gerade daran auf nem Cisco SG550x ACL einzurichten.
Es gibt 11 VLAN, die aktuell noch untereinander kommunizieren können. Das möchte ich jetzt ändern.
Alle sollen Zugriff auf das Default-VLAN haben, da hier die Server, die Internetverbindung und Drucker drin vertreten sind.
Die anderen VLANs 10,20,30,40,50,60,70,80,90,100 sollen untereinander nicht kommunizieren können.
Ich hab mich jetzt bissel durchs Forum geschlagen und auch im Web umgesehen, aber so richtig hats noch nicht Klick gemacht.
Jemand nen Tipp?
Grüße
x
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396118
Url: https://administrator.de/forum/access-control-lists-cisco-sg550x-396118.html
Ausgedruckt am: 02.04.2025 um 02:04 Uhr
10 Kommentare
Neuester Kommentar
Router/Firewall zwischen die VLANS klemmen?
Muss er ja nicht !Der SG 550 ist ein L3 Switch und sehr wahrscheinlich wir der Kollege @Xaero1982 dort auch seine VLANs routen ?!
Simple Access Listen dort reichen allso vollkommen.
Beispiel für das VLAN Interface 20:
Extended IP access list VLAN_20
PERMIT ip <source_netz_vlan20> <wildcard_mask> <destination_netz_vlan1> <wildcard_mask>
DENY ip <source_netz_vlan20> <wildcard_mask> <ANY>
Auf jedes VLAN Interface
Fertisch !
Wo ist dein wirkliches Problem ?
https://community.cisco.com/t5/small-business-switches/understanding-sg5 ...
Sollen die anderen VLANs untereinander geblockt werden aber dennoch ins Internet ??
Dann musst du diese inbound ACL an den VLAN Interfaces etwas modifizieren. Um das effizient mit einer Summary Wildcard Maske zu machen müsste man deinen VLAN IP Adressierungsplan kennen.
Moin,
Richtig das läuft alles über den Switch bzw. die Switche.
Werde ich morgen testen wenn ich zu komme. Danke.
Richtig die sollen alle ins Netz.
Netzplan ist simpel:
Default 192.168.178.0/24
Vlan 10: 172.16.10.0/24
Vlan 20: 172.16.20.0/24
Usw.
Vlan 100: 172.16.100.0/24
Alle sollen wie gesagt auf das default zugreifen in dem auch der Router hängt usw.
Grüße
x
Richtig das läuft alles über den Switch bzw. die Switche.
Werde ich morgen testen wenn ich zu komme. Danke.
Richtig die sollen alle ins Netz.
Netzplan ist simpel:
Default 192.168.178.0/24
Vlan 10: 172.16.10.0/24
Vlan 20: 172.16.20.0/24
Usw.
Vlan 100: 172.16.100.0/24
Alle sollen wie gesagt auf das default zugreifen in dem auch der Router hängt usw.
Grüße
x
OK, wenn die ins Internet dürfen dann sieht die ACL so aus:
Wieder am Beispiel für das VLAN Interface 20:
Extended IP access list VLAN_20
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
PERMIT ip <source_netz_vlan20> <wildcard_mask> <ANY>
Die Einträge "DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask> " musst du für alle VLAN IP Segmente eintragen auf die Clients im VLAN 20 keinen Zugriff haben sollen !
Wenn du 100 VLANs hast ist das natürlich etwas nervig.
Das geht dann etwas pfiffiger wenn man etwas mit der Wildcard Maske spielt. Klappt aber nur wenn du eine homogene Adressierung hast.
Wieder am Beispiel für das VLAN Interface 20:
Extended IP access list VLAN_20
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
PERMIT ip <source_netz_vlan20> <wildcard_mask> <ANY>
Die Einträge "DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask> " musst du für alle VLAN IP Segmente eintragen auf die Clients im VLAN 20 keinen Zugriff haben sollen !
Wenn du 100 VLANs hast ist das natürlich etwas nervig.
Das geht dann etwas pfiffiger wenn man etwas mit der Wildcard Maske spielt. Klappt aber nur wenn du eine homogene Adressierung hast.
Moin,
also irgendwie find ich nicht den richtigen Ort für die Eingabe.
"Unrecognized command" bei allem was ich eingebe und wo. Ob in config oder vlan config oder whatever.
Finde dazu auch nicht wirklich was....
also irgendwie find ich nicht den richtigen Ort für die Eingabe.
"Unrecognized command" bei allem was ich eingebe und wo. Ob in config oder vlan config oder whatever.
Finde dazu auch nicht wirklich was....
Jut,
der Befehl ist ip access-list extended VLAN_20
Aber das mit dem Deny geht net.
(config-ip-al)#DENY ip 172.16.20.0 172.16.30.0 0.0.0.255
% Wrong number of parameters or invalid range, size or characters entered
Hab das nochmal angepasst und teste es morgen vor Ort.
der Befehl ist ip access-list extended VLAN_20
Aber das mit dem Deny geht net.
(config-ip-al)#DENY ip 172.16.20.0 172.16.30.0 0.0.0.255
% Wrong number of parameters or invalid range, size or characters entered
Hab das nochmal angepasst und teste es morgen vor Ort.
So, scheint einfach nicht zu interessieren wenn ich daws eingebe.
Erst wenn ich eine Vlan ACL erstelle geht nix mehr ... aber dann auch wirklich gar nix ...
Erst wenn ich eine Vlan ACL erstelle geht nix mehr ... aber dann auch wirklich gar nix ...
Ok klappt
danke Aqui
danke Aqui
Woran lags ???
An dem vermeintlichen Test den ich durchführen wollte mit nur einer Regel.
Der Vollständigkeithalber:
Insgesamt 11 VLANs vorhanden
Default_VLAN 192.168.178.0
VLAN_10 172.16.10.0
VLAN_20 172.16.20.0
usw
VLAN_100 172.16.100.0
Hier sollten alle VLANs auf das Default_VLAN Zugriff haben und ansonsten untereinander nicht.
Exemplarisch für VLAN_20
Einloggen auf dem Switch (geht aber auch über die GUI - ist aber über das CLI schneller)
Diese Regeln findet man dann unter "Access Control"->"IPv4-Based ACE" mit entsprechenden Prioritäten
Anschließend muss man noch unter "Access Control"->"ACL Binding (VLAN)" die ACL VLAN_20 anwenden.
Add -> VLAN ID: 20
IPv4-Based ACL: VLAN_20
Default Action: Deny Any
Das müsste man dann, wie aqui schon sagte für alle weiteren VLANs einstellen.
Damit hat das VLAN_20 Zugriff auf das Default_VLAN und auf sonst nix.
Der Vollständigkeithalber:
Insgesamt 11 VLANs vorhanden
Default_VLAN 192.168.178.0
VLAN_10 172.16.10.0
VLAN_20 172.16.20.0
usw
VLAN_100 172.16.100.0
Hier sollten alle VLANs auf das Default_VLAN Zugriff haben und ansonsten untereinander nicht.
Exemplarisch für VLAN_20
Einloggen auf dem Switch (geht aber auch über die GUI - ist aber über das CLI schneller)
switch# config
switch(config)# ip access-list extended VLAN_20 (das ist nur der Regelname der in der GUI unter "Access Control"->"IPv4-Based ACL" zu finden ist)
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.30.0 0.0.0.255
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.40.0 0.0.0.255
usw.
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.100.0 0.0.0.255
switch(config-ip-al)# PERMIT ip 172.16.20.0 0.0.0.255 192.168.178.0 0.0.0.255Diese Regeln findet man dann unter "Access Control"->"IPv4-Based ACE" mit entsprechenden Prioritäten
Anschließend muss man noch unter "Access Control"->"ACL Binding (VLAN)" die ACL VLAN_20 anwenden.
Add -> VLAN ID: 20
IPv4-Based ACL: VLAN_20
Default Action: Deny Any
Das müsste man dann, wie aqui schon sagte für alle weiteren VLANs einstellen.
Damit hat das VLAN_20 Zugriff auf das Default_VLAN und auf sonst nix.
