xaero1982
Goto Top

Access Control Lists - Cisco SG550x

Moin Zusammen,

ich versuch mich gerade daran auf nem Cisco SG550x ACL einzurichten.

Es gibt 11 VLAN, die aktuell noch untereinander kommunizieren können. Das möchte ich jetzt ändern.

Alle sollen Zugriff auf das Default-VLAN haben, da hier die Server, die Internetverbindung und Drucker drin vertreten sind.

Die anderen VLANs 10,20,30,40,50,60,70,80,90,100 sollen untereinander nicht kommunizieren können.

Ich hab mich jetzt bissel durchs Forum geschlagen und auch im Web umgesehen, aber so richtig hats noch nicht Klick gemacht.

Jemand nen Tipp?

Grüße
x

Content-Key: 396118

Url: https://administrator.de/contentid/396118

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.12.2018 um 11:42:43 Uhr
Goto Top
Zitat von @Xaero1982:

Jemand nen Tipp?

Router/Firewall zwischen die VLANS klemmen?

lks
Mitglied: aqui
aqui 19.12.2018 aktualisiert um 13:46:26 Uhr
Goto Top
Router/Firewall zwischen die VLANS klemmen?
Muss er ja nicht !
Der SG 550 ist ein L3 Switch und sehr wahrscheinlich wir der Kollege @Xaero1982 dort auch seine VLANs routen ?!
Simple Access Listen dort reichen allso vollkommen.

Beispiel für das VLAN Interface 20:
Extended IP access list VLAN_20
PERMIT ip <source_netz_vlan20> <wildcard_mask> <destination_netz_vlan1> <wildcard_mask>
DENY ip <source_netz_vlan20> <wildcard_mask> <ANY>

Auf jedes VLAN Interface
Fertisch !
Wo ist dein wirkliches Problem ? face-smile
https://community.cisco.com/t5/small-business-switches/understanding-sg5 ...

Sollen die anderen VLANs untereinander geblockt werden aber dennoch ins Internet ??
Dann musst du diese inbound ACL an den VLAN Interfaces etwas modifizieren. Um das effizient mit einer Summary Wildcard Maske zu machen müsste man deinen VLAN IP Adressierungsplan kennen.
Mitglied: Xaero1982
Xaero1982 19.12.2018 um 19:50:44 Uhr
Goto Top
Moin,

Richtig das läuft alles über den Switch bzw. die Switche.

Werde ich morgen testen wenn ich zu komme. Danke.

Richtig die sollen alle ins Netz.

Netzplan ist simpel:

Default 192.168.178.0/24
Vlan 10: 172.16.10.0/24
Vlan 20: 172.16.20.0/24

Usw.
Vlan 100: 172.16.100.0/24

Alle sollen wie gesagt auf das default zugreifen in dem auch der Router hängt usw.

Grüße
x
Mitglied: aqui
Lösung aqui 22.12.2018 um 17:45:21 Uhr
Goto Top
OK, wenn die ins Internet dürfen dann sieht die ACL so aus:
Wieder am Beispiel für das VLAN Interface 20:

Extended IP access list VLAN_20
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask>
PERMIT ip <source_netz_vlan20> <wildcard_mask> <ANY>

Die Einträge "DENY ip <source_netz_vlan20> <destination_netz_vlan_x> <wildcard_mask> " musst du für alle VLAN IP Segmente eintragen auf die Clients im VLAN 20 keinen Zugriff haben sollen !
Wenn du 100 VLANs hast ist das natürlich etwas nervig.
Das geht dann etwas pfiffiger wenn man etwas mit der Wildcard Maske spielt. Klappt aber nur wenn du eine homogene Adressierung hast.
Mitglied: Xaero1982
Xaero1982 25.12.2018 um 15:38:35 Uhr
Goto Top
Moin,

also irgendwie find ich nicht den richtigen Ort für die Eingabe.

"Unrecognized command" bei allem was ich eingebe und wo. Ob in config oder vlan config oder whatever.

Finde dazu auch nicht wirklich was....
Mitglied: Xaero1982
Xaero1982 25.12.2018 um 20:29:27 Uhr
Goto Top
Jut,
der Befehl ist ip access-list extended VLAN_20

Aber das mit dem Deny geht net.
(config-ip-al)#DENY ip 172.16.20.0 172.16.30.0 0.0.0.255
% Wrong number of parameters or invalid range, size or characters entered

Hab das nochmal angepasst und teste es morgen vor Ort.
Mitglied: Xaero1982
Xaero1982 26.12.2018 um 14:46:19 Uhr
Goto Top
So, scheint einfach nicht zu interessieren wenn ich daws eingebe.
Erst wenn ich eine Vlan ACL erstelle geht nix mehr ... aber dann auch wirklich gar nix ...
Mitglied: Xaero1982
Xaero1982 26.12.2018 um 14:49:38 Uhr
Goto Top
Ok klappt face-smile

danke Aqui
Mitglied: aqui
aqui 26.12.2018 um 16:30:10 Uhr
Goto Top
Woran lags ???
Mitglied: Xaero1982
Xaero1982 26.12.2018 um 21:25:26 Uhr
Goto Top
An dem vermeintlichen Test den ich durchführen wollte mit nur einer Regel.

Der Vollständigkeithalber:
Insgesamt 11 VLANs vorhanden
Default_VLAN 192.168.178.0
VLAN_10 172.16.10.0
VLAN_20 172.16.20.0
usw
VLAN_100 172.16.100.0

Hier sollten alle VLANs auf das Default_VLAN Zugriff haben und ansonsten untereinander nicht.

Exemplarisch für VLAN_20
Einloggen auf dem Switch (geht aber auch über die GUI - ist aber über das CLI schneller)
switch# config
switch(config)# ip access-list extended VLAN_20 (das ist nur der Regelname der in der GUI unter "Access Control"->"IPv4-Based ACL" zu finden ist) 
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.10.0 0.0.0.255
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.30.0 0.0.0.255
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.40.0 0.0.0.255
usw.
switch(config-ip-al)# DENY ip 172.16.20.0 0.0.0.255 172.16.100.0 0.0.0.255
switch(config-ip-al)# PERMIT ip 172.16.20.0 0.0.0.255 192.168.178.0 0.0.0.255

Diese Regeln findet man dann unter "Access Control"->"IPv4-Based ACE" mit entsprechenden Prioritäten

Anschließend muss man noch unter "Access Control"->"ACL Binding (VLAN)" die ACL VLAN_20 anwenden.

Add -> VLAN ID: 20
IPv4-Based ACL: VLAN_20
Default Action: Deny Any

Das müsste man dann, wie aqui schon sagte für alle weiteren VLANs einstellen.

Damit hat das VLAN_20 Zugriff auf das Default_VLAN und auf sonst nix.