jejeswiss
Goto Top

ACL auf Cisco SG300 L3 Switch einrichten

Hallo Zusammen

Ich habe das mit den ACL noch nicht ganz drauf. Die Konfiguration funktioniert noch nicht wie ich mir das vorstelle.
Das aktuelle Setup habe ich mal probiert aufzuzeichnen. Router 1 kann keine statischen Routen. Daher gibt es einen Router 2 (Mikrotik).


Ohne ACL funktioniert soweit alles. VLAN 20, 30 und 40 kommt ins Internet. Alle VLANs haben Zugriff auf alle Clients in jedem VLAN. Ping zu den Clients und den beiden Routern funktioniert. Soweit so gut.

Nun möchte ich, dass KEINE Clients von VLAN 20 auf VLAN 30 zugreifen können und umgekehrt. Beide VLANs sollen jedoch ins Internet (VLAN 10) kommen.

Ich habe nun folgendes versucht:

ACL1:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
permit 192.168.2.0, 0.0.0.255, 192.168.0.0, 0.0.0.255 (braucht es das? Damit von VLAN 20 auch auf den Router 1 zugegriffen werden kann?)
permit 192.168.2.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 (braucht es das, damit die Clients innerhalb von VLAN 20 gegenseitig aufeinander zugreifen können)?
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 (damit sollten alle Clients aus dem 2er Netz NICHT auf das 3er Netz zugreifen können)

Dann habe ich diese ACL 1 an das VLAN 20 gebunden. Default Action ist "Deny Any".

Wenn ich das so mache, dann kann ich im 3er Netz effektiv keine Clients mehr anpingen. Ich komme aber auch nicht mehr ins internet.

Wenn ich diese ACL 1 an das VLAN 2 binde mit default action "Permint Any" dann komme ich ins internet und kann keine Clients im 3er Netz anpingen.
Wieso ist das so? Ich habe doch definiert, dass alle Clients im 2er Netz auf das 1er Netz zugreifen können?

ich habe zusätzlich eine ACL 2 definiert und an das VLAN 10 gebunden:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.4.0, 0.0.0.255, 192.168.1.0, 0.0.0.255

hat aber nichts gebracht. Sobald die Default Action "Deny Any" ist, funktioniert das Internet nicht mehr. ich möchte aber ungern als Default Action "Permit Any" eingeben, da ich explizit nur gewissen Traffic erlauben möchte. Was mache ich falsch?

Lg JejeSwiss
netzwerk

Content-ID: 298220

Url: https://administrator.de/forum/acl-auf-cisco-sg300-l3-switch-einrichten-298220.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

aqui
aqui 05.03.2016 aktualisiert um 09:04:56 Uhr
Goto Top
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
Nein !
Sieh dir einfach nur mal die Regel an und deine sinnfreie Schlußfolgerung daraus und denke nur mal etwas logisch wie du es in der Schule gelernt hast (hoffentlich ?!) Was steht denn da ??
Erlaube Pakete mit Absender IP 192.168.2.x und Ziel IP 192.168.1.x
Auch ein nicht Netzwerker weiss das damit nur IP Pakete gemeint sind wie vom .2.0er Netz ins .1.0er Netz gehen, sprich also einzig von VLAN 20 auf VLAN 10 !
Wie bitte kommst du da jatzt auf "...auf das Internet kommen" ?? Das Internet hat ja noch Milliarden mehr IP Adressen als nur diese 2.
Mal ganz abgesehen davon das das private RFC 1918 IP Adressen sind die im Internet gar nicht geroutet werden was hier aber erstmal egal ist.

Die Sinnhaftigkeit deiner anderen Regeln kannst du dir ja nun vermutlich selber erklären, oder ?
Also logisch denken.... Du willst einzig nur eine Kommunikation von VLAN 20 auf 30 und vice versa unterbinden.
Da kann man sich das Leben ganz einfach machen...
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit 192.168.2.0, 0.0.0.255, any

Diese bindest du an VLAN 20 und sie reicht vollkommen aus um das zu erreichen !
Keine Pakete von .2.0 auf .3.0 und alles andere erlaubt. Theoretisch können zwar .3.0 Pakete auf .2.0 zugreifen aber die Antwortpakete bleiben dann in dieser Regel hängen.
Wenn du aber zum Gürtel nich den Hosenträger willst dann setzt du an VLAN 30 noch eine weitere Regel:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, any

Deny any any als Default Action sollte immer der Standard sein !
Und fertig ist der Lack.

Fazit: Ganz einfach mal logisch denken wie sich die IP Pakete im Netzwerk bewegen und dann klappt das auch !
JejeSwiss
JejeSwiss 05.03.2016 um 14:12:20 Uhr
Goto Top
Vielen dank für die Hilfe. Das hat schon mal bestens funktioniert und die Zugriffe funktionieren soweit.

Jetzt habe ich aber noch einen komischen Fehler. Hast du hier auch noch Tipps dazu?

Sobald ich diese beiden ACL aktiviere:

Auf VLAN 20:
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit 192.168.2.0, 0.0.0.255, any

Auf VLAN 30:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, any

Kann VLAN 20 nicht mehr auf 30 zugreifen und vice versa. Internet funktioniert bei beiden. Also wie gewünscht. Ich habe nun aber das Problem, dass der DHCP Server nicht mehr funktioniert (Der Switch ist gleichzeitig DHCP Server).
Die Pools habe ich entsprechend eingerichtet (also für das 2.0er Netz einen Pool von 192.168.2.100 bis 2.250 und für das 3er Netz einen Pool von 192.168.3.100 bis 3.250).
Mit aktiver ACL bekommt der Client in VLAN 20 oder VLAN 30 keine IP aus seinem Bereich vom DHCP sondern irgend etwas anders 169.xxx). Sobald ich die beiden ACL wieder deaktiviere funktioniert die IP Vergabe des DHCP. Warum hat die ACL Einfluss auf den DHCP?
JejeSwiss
JejeSwiss 05.03.2016 aktualisiert um 15:21:58 Uhr
Goto Top
habs gefunden:
beim SG300 unter DHCP Snooping/Relay >> Interface Settings > DHCP Interface Table pro VLAN (Interface) den DHCP Relay aktivieren.


edit:
doch nicht gefunden... nun funktioniert es mit den aktiven ACLs wieder nicht. PC übernimmt wieder IP 169.254...
Welche Einstellung fehlt noch?
aqui
Lösung aqui 05.03.2016, aktualisiert am 06.03.2016 um 15:21:27 Uhr
Goto Top
DHCP Interface Table pro VLAN (Interface) den DHCP Relay aktivieren.
Das brauchst du eigentlich nur wenn man einen zentralen DHCP Server konfiguriert. Nicht aber in deinem Falle wo du pro VLAN einen hast.
Aber der Fehler ist klar...hab ich auch mal nicht nachgedacht...shame on me face-wink

Ein DHCP Client hat wenn er nackig ist eine Absender IP von 0.0.0.0 und sendet den Request als Broadcast mit 255.255.255.255 was du dir mit dem Wireshark ansehen kannst.
Da wir nur auf IP Sender 192.168.2.x und Empfänger 192.168.3.x filtern sollten die o.a. ja Pakete durchgehen, aaaaber...
Die dann folgende PERMIT Regel lässt nur einzig IP Adressen mit einer Absender IP von 192.168.2.x durch und das ist dann der Todesstoß für unsere 0.0.0.0er IP Absenderadresse eines nackigen DHCP Clients.
Der Switch verhält sich also genau richtig !
Also kleine Änderung der ACL:

Auf VLAN 20:
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any


Auf VLAN 30:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any


Das sollte das Problem sofort fixen.
Was lernen wir daraus: Erst nachdenken und dann schreiben face-big-smile
JejeSwiss
JejeSwiss 05.03.2016 um 17:26:53 Uhr
Goto Top
coool, danke
was muss ich eingeben damit alle clients im 3er auf nur einen einzelnen Server im 2er (192.168.2.10) zugreifen können?

ich hätte jetzt probiert:

Auf VLAN 20:
permit 192.168.2.10, 0.0.0.0, 192.168.3.0, 0.0.0.255
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 
permit any any


Auf VLAN 30:
permit 192.168.3.0, 0.0.0.255, 192.168.2.10, 0.0.0.0
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 
permit any any

also zuerst die einzelne Ausnahme genehmigen und danach dennganzen Rest verweigern. Aber irgendwo ist noch der Wurm drin.
aqui
aqui 06.03.2016 aktualisiert um 10:39:46 Uhr
Goto Top
was muss ich eingeben damit alle clients im 3er auf nur einen einzelnen Server im 2er (192.168.2.10) zugreifen können?
Womit wir wieder mal beim einfachen logischen Denken sind .... ! face-smile
Die Reihenfolge zählt, den der erste Eintrag der greift bewirkt das der Rest der ACL nicht mehr abgearbeitet wird. Bis auf die Wildcard Masken stimmt soweit alles.
Ein Host hat eine Wildcard Maske von 0.0.0.0 ! Bei den Cisco ACLs bewirkt das auch das Statement host in der ACL

Richtig ist für VLAN 30:
permit 192.168.3.0, 0.0.0.255, host 192.168.2.10,
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any


Entsprechend VLAN 20:
permit host 192.168.2.10, 192.168.3.0, 0.0.0.255
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any
JejeSwiss
JejeSwiss 06.03.2016 um 11:34:36 Uhr
Goto Top
hm, dachte dätte ich so eingetragen mit 0.0.0.0. Ich versuche es nochmals.
aqui
Lösung aqui 06.03.2016 aktualisiert um 15:20:14 Uhr
Goto Top
Ja, das geht auch und ist vermutlich richtig. Das Statement hosts ist aus den "richtigen" Cisco Switches den Catalysten.
War jetzt mehr geraten in der Hoffnung das die Billigschiene der SG Switches das ebenso macht.
Mit der o.o. Wildcard List bist du aber richtig !
JejeSwiss
JejeSwiss 06.03.2016 um 15:21:01 Uhr
Goto Top
jep, hat tiptop funktioniert. Wohl beim ersten Mal irgendwo vertippt. Jetzt funktioniert mein VLAN Routing wie gewünscht mit den ACL face-smile Nächstes Problem --> IP TV face-smile
aqui
aqui 06.03.2016 um 16:18:06 Uhr
Goto Top
Jetzt funktioniert mein VLAN Routing wie gewünscht
So sollte es sein... face-smile
Nächstes Problem --> IP TV
Äääähhh wieso Problem ??
IGMP Snooping aktivieren und fertisch iss de Lack ?!
Oder willste Multicast routen zwischen den IP Netzen. Dann ist PIM Routing dein Freund face-wink