ACL auf Cisco SG300 L3 Switch einrichten

Mitglied: JejeSwiss

JejeSwiss (Level 1) - Jetzt verbinden

05.03.2016, aktualisiert 06.03.2016, 2779 Aufrufe, 10 Kommentare, 2 Danke

Hallo Zusammen

Ich habe das mit den ACL noch nicht ganz drauf. Die Konfiguration funktioniert noch nicht wie ich mir das vorstelle.
Das aktuelle Setup habe ich mal probiert aufzuzeichnen. Router 1 kann keine statischen Routen. Daher gibt es einen Router 2 (Mikrotik).

https://www.administrator.de/images/c/1/3/813098a4579675a2f92bedb87e5f21 ...

Ohne ACL funktioniert soweit alles. VLAN 20, 30 und 40 kommt ins Internet. Alle VLANs haben Zugriff auf alle Clients in jedem VLAN. Ping zu den Clients und den beiden Routern funktioniert. Soweit so gut.

Nun möchte ich, dass KEINE Clients von VLAN 20 auf VLAN 30 zugreifen können und umgekehrt. Beide VLANs sollen jedoch ins Internet (VLAN 10) kommen.

Ich habe nun folgendes versucht:

ACL1:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
permit 192.168.2.0, 0.0.0.255, 192.168.0.0, 0.0.0.255 (braucht es das? Damit von VLAN 20 auch auf den Router 1 zugegriffen werden kann?)
permit 192.168.2.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 (braucht es das, damit die Clients innerhalb von VLAN 20 gegenseitig aufeinander zugreifen können)?
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 (damit sollten alle Clients aus dem 2er Netz NICHT auf das 3er Netz zugreifen können)

Dann habe ich diese ACL 1 an das VLAN 20 gebunden. Default Action ist "Deny Any".

Wenn ich das so mache, dann kann ich im 3er Netz effektiv keine Clients mehr anpingen. Ich komme aber auch nicht mehr ins internet.

Wenn ich diese ACL 1 an das VLAN 2 binde mit default action "Permint Any" dann komme ich ins internet und kann keine Clients im 3er Netz anpingen.
Wieso ist das so? Ich habe doch definiert, dass alle Clients im 2er Netz auf das 1er Netz zugreifen können?

ich habe zusätzlich eine ACL 2 definiert und an das VLAN 10 gebunden:
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, 192.168.1.0, 0.0.0.255
permit 192.168.4.0, 0.0.0.255, 192.168.1.0, 0.0.0.255

hat aber nichts gebracht. Sobald die Default Action "Deny Any" ist, funktioniert das Internet nicht mehr. ich möchte aber ungern als Default Action "Permit Any" eingeben, da ich explizit nur gewissen Traffic erlauben möchte. Was mache ich falsch?

Lg JejeSwiss
netzwerk - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
05.03.2016, aktualisiert um 09:04 Uhr
permit 192.168.2.0, 0.0.0.255, 192.168.1.0, 0.0.0.255 (damit sollten alle Clients im 2er Netz auf das Internet kommen, richtig?)
Nein !
Sieh dir einfach nur mal die Regel an und deine sinnfreie Schlußfolgerung daraus und denke nur mal etwas logisch wie du es in der Schule gelernt hast (hoffentlich ?!) Was steht denn da ??
Erlaube Pakete mit Absender IP 192.168.2.x und Ziel IP 192.168.1.x
Auch ein nicht Netzwerker weiss das damit nur IP Pakete gemeint sind wie vom .2.0er Netz ins .1.0er Netz gehen, sprich also einzig von VLAN 20 auf VLAN 10 !
Wie bitte kommst du da jatzt auf "...auf das Internet kommen" ?? Das Internet hat ja noch Milliarden mehr IP Adressen als nur diese 2.
Mal ganz abgesehen davon das das private RFC 1918 IP Adressen sind die im Internet gar nicht geroutet werden was hier aber erstmal egal ist.

Die Sinnhaftigkeit deiner anderen Regeln kannst du dir ja nun vermutlich selber erklären, oder ?
Also logisch denken.... Du willst einzig nur eine Kommunikation von VLAN 20 auf 30 und vice versa unterbinden.
Da kann man sich das Leben ganz einfach machen...
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit 192.168.2.0, 0.0.0.255, any

Diese bindest du an VLAN 20 und sie reicht vollkommen aus um das zu erreichen !
Keine Pakete von .2.0 auf .3.0 und alles andere erlaubt. Theoretisch können zwar .3.0 Pakete auf .2.0 zugreifen aber die Antwortpakete bleiben dann in dieser Regel hängen.
Wenn du aber zum Gürtel nich den Hosenträger willst dann setzt du an VLAN 30 noch eine weitere Regel:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, any

Deny any any als Default Action sollte immer der Standard sein !
Und fertig ist der Lack.

Fazit: Ganz einfach mal logisch denken wie sich die IP Pakete im Netzwerk bewegen und dann klappt das auch !
Bitte warten ..
Mitglied: JejeSwiss
05.03.2016 um 14:12 Uhr
Vielen dank für die Hilfe. Das hat schon mal bestens funktioniert und die Zugriffe funktionieren soweit.

Jetzt habe ich aber noch einen komischen Fehler. Hast du hier auch noch Tipps dazu?

Sobald ich diese beiden ACL aktiviere:

Auf VLAN 20:
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit 192.168.2.0, 0.0.0.255, any

Auf VLAN 30:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit 192.168.3.0, 0.0.0.255, any

Kann VLAN 20 nicht mehr auf 30 zugreifen und vice versa. Internet funktioniert bei beiden. Also wie gewünscht. Ich habe nun aber das Problem, dass der DHCP Server nicht mehr funktioniert (Der Switch ist gleichzeitig DHCP Server).
Die Pools habe ich entsprechend eingerichtet (also für das 2.0er Netz einen Pool von 192.168.2.100 bis 2.250 und für das 3er Netz einen Pool von 192.168.3.100 bis 3.250).
Mit aktiver ACL bekommt der Client in VLAN 20 oder VLAN 30 keine IP aus seinem Bereich vom DHCP sondern irgend etwas anders 169.xxx). Sobald ich die beiden ACL wieder deaktiviere funktioniert die IP Vergabe des DHCP. Warum hat die ACL Einfluss auf den DHCP?
Bitte warten ..
Mitglied: JejeSwiss
05.03.2016, aktualisiert um 15:21 Uhr
habs gefunden:
beim SG300 unter DHCP Snooping/Relay >> Interface Settings > DHCP Interface Table pro VLAN (Interface) den DHCP Relay aktivieren.


edit:
doch nicht gefunden... nun funktioniert es mit den aktiven ACLs wieder nicht. PC übernimmt wieder IP 169.254...
Welche Einstellung fehlt noch?
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.03.2016, aktualisiert 06.03.2016
DHCP Interface Table pro VLAN (Interface) den DHCP Relay aktivieren.
Das brauchst du eigentlich nur wenn man einen zentralen DHCP Server konfiguriert. Nicht aber in deinem Falle wo du pro VLAN einen hast.
Aber der Fehler ist klar...hab ich auch mal nicht nachgedacht...shame on me ;-) face-wink

Ein DHCP Client hat wenn er nackig ist eine Absender IP von 0.0.0.0 und sendet den Request als Broadcast mit 255.255.255.255 was du dir mit dem Wireshark ansehen kannst.
Da wir nur auf IP Sender 192.168.2.x und Empfänger 192.168.3.x filtern sollten die o.a. ja Pakete durchgehen, aaaaber...
Die dann folgende PERMIT Regel lässt nur einzig IP Adressen mit einer Absender IP von 192.168.2.x durch und das ist dann der Todesstoß für unsere 0.0.0.0er IP Absenderadresse eines nackigen DHCP Clients.
Der Switch verhält sich also genau richtig !
Also kleine Änderung der ACL:

Auf VLAN 20:
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any


Auf VLAN 30:
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any


Das sollte das Problem sofort fixen.
Was lernen wir daraus: Erst nachdenken und dann schreiben :-D face-big-smile
Bitte warten ..
Mitglied: JejeSwiss
05.03.2016 um 17:26 Uhr
coool, danke
was muss ich eingeben damit alle clients im 3er auf nur einen einzelnen Server im 2er (192.168.2.10) zugreifen können?

ich hätte jetzt probiert:

Auf VLAN 20:
permit 192.168.2.10, 0.0.0.0, 192.168.3.0, 0.0.0.255
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255 
permit any any


Auf VLAN 30:
permit 192.168.3.0, 0.0.0.255, 192.168.2.10, 0.0.0.0
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255 
permit any any

also zuerst die einzelne Ausnahme genehmigen und danach dennganzen Rest verweigern. Aber irgendwo ist noch der Wurm drin.
Bitte warten ..
Mitglied: aqui
06.03.2016, aktualisiert um 10:39 Uhr
was muss ich eingeben damit alle clients im 3er auf nur einen einzelnen Server im 2er (192.168.2.10) zugreifen können?
Womit wir wieder mal beim einfachen logischen Denken sind .... ! :-) face-smile
Die Reihenfolge zählt, den der erste Eintrag der greift bewirkt das der Rest der ACL nicht mehr abgearbeitet wird. Bis auf die Wildcard Masken stimmt soweit alles.
Ein Host hat eine Wildcard Maske von 0.0.0.0 ! Bei den Cisco ACLs bewirkt das auch das Statement host in der ACL

Richtig ist für VLAN 30:
permit 192.168.3.0, 0.0.0.255, host 192.168.2.10,
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any


Entsprechend VLAN 20:
permit host 192.168.2.10, 192.168.3.0, 0.0.0.255
deny 192.168.2.0, 0.0.0.255, 192.168.3.0, 0.0.0.255
permit any any

Bitte warten ..
Mitglied: JejeSwiss
06.03.2016 um 11:34 Uhr
hm, dachte dätte ich so eingetragen mit 0.0.0.0. Ich versuche es nochmals.
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.03.2016, aktualisiert um 15:20 Uhr
Ja, das geht auch und ist vermutlich richtig. Das Statement hosts ist aus den "richtigen" Cisco Switches den Catalysten.
War jetzt mehr geraten in der Hoffnung das die Billigschiene der SG Switches das ebenso macht.
Mit der o.o. Wildcard List bist du aber richtig !
Bitte warten ..
Mitglied: JejeSwiss
06.03.2016 um 15:21 Uhr
jep, hat tiptop funktioniert. Wohl beim ersten Mal irgendwo vertippt. Jetzt funktioniert mein VLAN Routing wie gewünscht mit den ACL :-) face-smile Nächstes Problem --> IP TV :-) face-smile
Bitte warten ..
Mitglied: aqui
06.03.2016 um 16:18 Uhr
Jetzt funktioniert mein VLAN Routing wie gewünscht
So sollte es sein... :-) face-smile
Nächstes Problem --> IP TV
Äääähhh wieso Problem ??
IGMP Snooping aktivieren und fertisch iss de Lack ?!
Oder willste Multicast routen zwischen den IP Netzen. Dann ist PIM Routing dein Freund ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware18 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...