ACL auf Cisco SG300 L3 Switch einrichten
Hallo Zusammen
Ich habe das mit den ACL noch nicht ganz drauf. Die Konfiguration funktioniert noch nicht wie ich mir das vorstelle.
Das aktuelle Setup habe ich mal probiert aufzuzeichnen. Router 1 kann keine statischen Routen. Daher gibt es einen Router 2 (Mikrotik).
Ohne ACL funktioniert soweit alles. VLAN 20, 30 und 40 kommt ins Internet. Alle VLANs haben Zugriff auf alle Clients in jedem VLAN. Ping zu den Clients und den beiden Routern funktioniert. Soweit so gut.
Nun möchte ich, dass KEINE Clients von VLAN 20 auf VLAN 30 zugreifen können und umgekehrt. Beide VLANs sollen jedoch ins Internet (VLAN 10) kommen.
Ich habe nun folgendes versucht:
ACL1:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
permit 192.168.2.0, 0.0.0.255, 192.168.0.0, 0.0.0.255 (braucht es das? Damit von VLAN 20 auch auf den Router 1 zugegriffen werden kann?)
permit 192.168.2.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 (braucht es das, damit die Clients innerhalb von VLAN 20 gegenseitig aufeinander zugreifen können)?
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 (damit sollten alle Clients aus dem 2er Netz NICHT auf das 3er Netz zugreifen können)
Dann habe ich diese ACL 1 an das VLAN 20 gebunden. Default Action ist "Deny Any".
Wenn ich das so mache, dann kann ich im 3er Netz effektiv keine Clients mehr anpingen. Ich komme aber auch nicht mehr ins internet.
Wenn ich diese ACL 1 an das VLAN 2 binde mit default action "Permint Any" dann komme ich ins internet und kann keine Clients im 3er Netz anpingen.
Wieso ist das so? Ich habe doch definiert, dass alle Clients im 2er Netz auf das 1er Netz zugreifen können?
ich habe zusätzlich eine ACL 2 definiert und an das VLAN 10 gebunden:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.4.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
hat aber nichts gebracht. Sobald die Default Action "Deny Any" ist, funktioniert das Internet nicht mehr. ich möchte aber ungern als Default Action "Permit Any" eingeben, da ich explizit nur gewissen Traffic erlauben möchte. Was mache ich falsch?
Lg JejeSwiss
Ich habe das mit den ACL noch nicht ganz drauf. Die Konfiguration funktioniert noch nicht wie ich mir das vorstelle.
Das aktuelle Setup habe ich mal probiert aufzuzeichnen. Router 1 kann keine statischen Routen. Daher gibt es einen Router 2 (Mikrotik).
Ohne ACL funktioniert soweit alles. VLAN 20, 30 und 40 kommt ins Internet. Alle VLANs haben Zugriff auf alle Clients in jedem VLAN. Ping zu den Clients und den beiden Routern funktioniert. Soweit so gut.
Nun möchte ich, dass KEINE Clients von VLAN 20 auf VLAN 30 zugreifen können und umgekehrt. Beide VLANs sollen jedoch ins Internet (VLAN 10) kommen.
Ich habe nun folgendes versucht:
ACL1:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
permit 192.168.2.0, 0.0.0.255, 192.168.0.0, 0.0.0.255 (braucht es das? Damit von VLAN 20 auch auf den Router 1 zugegriffen werden kann?)
permit 192.168.2.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 (braucht es das, damit die Clients innerhalb von VLAN 20 gegenseitig aufeinander zugreifen können)?
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 (damit sollten alle Clients aus dem 2er Netz NICHT auf das 3er Netz zugreifen können)
Dann habe ich diese ACL 1 an das VLAN 20 gebunden. Default Action ist "Deny Any".
Wenn ich das so mache, dann kann ich im 3er Netz effektiv keine Clients mehr anpingen. Ich komme aber auch nicht mehr ins internet.
Wenn ich diese ACL 1 an das VLAN 2 binde mit default action "Permint Any" dann komme ich ins internet und kann keine Clients im 3er Netz anpingen.
Wieso ist das so? Ich habe doch definiert, dass alle Clients im 2er Netz auf das 1er Netz zugreifen können?
ich habe zusätzlich eine ACL 2 definiert und an das VLAN 10 gebunden:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.4.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
hat aber nichts gebracht. Sobald die Default Action "Deny Any" ist, funktioniert das Internet nicht mehr. ich möchte aber ungern als Default Action "Permit Any" eingeben, da ich explizit nur gewissen Traffic erlauben möchte. Was mache ich falsch?
Lg JejeSwiss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 298220
Url: https://administrator.de/forum/acl-auf-cisco-sg300-l3-switch-einrichten-298220.html
Ausgedruckt am: 22.12.2024 um 13:12 Uhr
10 Kommentare
Neuester Kommentar
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
Nein !Sieh dir einfach nur mal die Regel an und deine sinnfreie Schlußfolgerung daraus und denke nur mal etwas logisch wie du es in der Schule gelernt hast (hoffentlich ?!) Was steht denn da ??
Erlaube Pakete mit Absender IP 192.168.2.x und Ziel IP 192.168.1.x
Auch ein nicht Netzwerker weiss das damit nur IP Pakete gemeint sind wie vom .2.0er Netz ins .1.0er Netz gehen, sprich also einzig von VLAN 20 auf VLAN 10 !
Wie bitte kommst du da jatzt auf "...auf das Internet kommen" ?? Das Internet hat ja noch Milliarden mehr IP Adressen als nur diese 2.
Mal ganz abgesehen davon das das private RFC 1918 IP Adressen sind die im Internet gar nicht geroutet werden was hier aber erstmal egal ist.
Die Sinnhaftigkeit deiner anderen Regeln kannst du dir ja nun vermutlich selber erklären, oder ?
Also logisch denken.... Du willst einzig nur eine Kommunikation von VLAN 20 auf 30 und vice versa unterbinden.
Da kann man sich das Leben ganz einfach machen...
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit 192.168.2.0, 0.0.0.255, any
Diese bindest du an VLAN 20 und sie reicht vollkommen aus um das zu erreichen !
Keine Pakete von .2.0 auf .3.0 und alles andere erlaubt. Theoretisch können zwar .3.0 Pakete auf .2.0 zugreifen aber die Antwortpakete bleiben dann in dieser Regel hängen.
Wenn du aber zum Gürtel nich den Hosenträger willst dann setzt du an VLAN 30 noch eine weitere Regel:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, any
Deny any any als Default Action sollte immer der Standard sein !
Und fertig ist der Lack.
Fazit: Ganz einfach mal logisch denken wie sich die IP Pakete im Netzwerk bewegen und dann klappt das auch !
DHCP Interface Table pro VLAN (Interface) den DHCP Relay aktivieren.
Das brauchst du eigentlich nur wenn man einen zentralen DHCP Server konfiguriert. Nicht aber in deinem Falle wo du pro VLAN einen hast.Aber der Fehler ist klar...hab ich auch mal nicht nachgedacht...shame on me
Ein DHCP Client hat wenn er nackig ist eine Absender IP von 0.0.0.0 und sendet den Request als Broadcast mit 255.255.255.255 was du dir mit dem Wireshark ansehen kannst.
Da wir nur auf IP Sender 192.168.2.x und Empfänger 192.168.3.x filtern sollten die o.a. ja Pakete durchgehen, aaaaber...
Die dann folgende PERMIT Regel lässt nur einzig IP Adressen mit einer Absender IP von 192.168.2.x durch und das ist dann der Todesstoß für unsere 0.0.0.0er IP Absenderadresse eines nackigen DHCP Clients.
Der Switch verhält sich also genau richtig !
Also kleine Änderung der ACL:
Auf VLAN 20:
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any
Auf VLAN 30:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any
Das sollte das Problem sofort fixen.
Was lernen wir daraus: Erst nachdenken und dann schreiben
was muss ich eingeben damit alle clients im 3er auf nur einen einzelnen Server im 2er (192.168.2.10) zugreifen können?
Womit wir wieder mal beim einfachen logischen Denken sind .... ! Die Reihenfolge zählt, den der erste Eintrag der greift bewirkt das der Rest der ACL nicht mehr abgearbeitet wird. Bis auf die Wildcard Masken stimmt soweit alles.
Ein Host hat eine Wildcard Maske von 0.0.0.0 ! Bei den Cisco ACLs bewirkt das auch das Statement host in der ACL
Richtig ist für VLAN 30:
permit 192.168.3.0, 0.0.0.255, host 192.168.2.10,
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any
Entsprechend VLAN 20:
permit host 192.168.2.10, 192.168.3.0, 0.0.0.255
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any