ACL Konfiguration HP1920 mit VLANs

Mitglied: markuswo

markuswo (Level 1) - Jetzt verbinden

05.03.2016 um 23:29 Uhr, 3479 Aufrufe, 9 Kommentare

Hallo Community,

nach langsamen ersten Erfolgen mit ACL's auf einem HP 1920 stellt sich mir dann doch eine Frage. Zunächst eine Darstellung meiner Netzwerksituation.

testaufbau - Klicke auf das Bild, um es zu vergrößern

Wichtig: Die Verbindung zwischen den beiden Layer 2 Switches und dem Layer 3 Switch besteht nicht im Testaufbau, das ist nur theoretisch was dann folgen soll. (deswegen die gestrichelte Linie)

Der Layer 3 Switch übernimmt das Routing zwischen den VLAN's, das Gateway hat einen DHCP Server am laufen und macht dann das weiter Routing bzw. Forwarding ins Internet.

Ziel des ganzen ist es die VLAN's voneinander abzuisolieren, also so, wie man es ja theoretisch erwartet. Es ist aber aktuell nicht so, da der Switch ja selber routet und man somit alle VLAN's erreichen kann. Deswegen die ACL's.

Ich habe bereits erstellt: Eine advanced ACL, und dazu das benötigte QOS Classifier, QOS Behavior, QOS Policy und das alles mit Port Policy einem Port zugewiesen, nämlich dem Port an dem mein Client (10.10.3.12) hängt.

(gekürzte) Config ACL:
Source: 10.10.3.0/24
Destination: 10.10.2.0/24

dazu dann QOS Behavior mit "deny" für die Policy.

Das hat geklappt, ich kann mit dem Rechner aus dem VLAN30 keinen Rechner im VLAN20 erreichen.

Jetzt endlich meine Frage: Ist mein Gedankengang richtig, dass ich die ACL's welche jeweils die Kommunikation zwischen den VLAN's verbieten, auf den Trunk Port zuordnen muss, damit der gesamte Traffic der aus dem "restlichen Netz" über die Layer 2 Switche ankommt, unter die Beschränkung der ACL's fällt?

Gruß und Dank,
Markus



Mitglied: aqui
06.03.2016 um 10:15 Uhr
besteht nicht im Testaufbau, das ist nur theoretisch was dann folgen soll.
Das ist auch erstmal gut so, denn das gesamte Design ist recht unglücklich und nicht gut gelöst. Eine Kaskadierung von Switches wie mit den beiden L2 Switches sollte man generell vermeiden wenn irgend möglich.
Sinnvoll und besser wäre es diese beiden Switches sternförmig mit redundanten Links an den (L3) Core anzubinden.
Der Layer 3 Switch übernimmt das Routing zwischen den VLAN's, das Gateway hat einen DHCP Server am laufen und macht dann das weiter Routing bzw. Forwarding ins Internet.
Klassischer Standard... ;-) face-wink
Eine advanced ACL, und dazu das benötigte QOS Classifier, QOS Behavior, QOS Policy
Wozu das ganze überflüssige QoS Geraffel ?? Für eine simple Permit oder deny Regel ist das überflüssig ?!
welche jeweils die Kommunikation zwischen den VLAN's verbieten, auf den Trunk Port zuordnen muss,
Nein, eigentlich macht man das immer auf dem L3 Interface am Switch wo aus der L3 Traffic auftaucht.

Dieser Thread erklärt dir etwas die Logik dazu:
https://www.administrator.de/forum/acl-cisco-sg300-l3-switch-einrichten- ...
Das sollte auf den üblen HP Billiggurken mehr oder weniger identisch sein.
Bitte warten ..
Mitglied: markuswo
07.03.2016 um 12:21 Uhr
Eine Kaskadierung von Switches wie mit den beiden L2 Switches sollte man generell vermeiden wenn irgend möglich.

Es ist leider baulich nicht anders möglich, das Netzwerk wurde immer mal wieder erweitert. Die Darstellung ist nur vereinfacht, hinter den beiden Switchen gibts noch mehr, welche aber nach dem selben Prinzip eingerichtet sind.

Wozu das ganze überflüssige QoS Geraffel ?? Für eine simple Permit oder deny Regel ist das überflüssig ?!

Der 1920 ist nur über das Webinterface konfigurierbar, die CLI ist nur eingeschräkt (Passwort, Systeminfo...). Somit kann ich keine direkten Regeln festlegen, sondern muss den Weg über das QoS gehen damit ich die ACL's speziell zuweisen kann. Ist der offizielle Weg laut Doku von HP.

L3 Interface am Switch wo aus der L3 Traffic auftaucht.

Du meinst damit also den Port wo der Gateway dran hängt?

Mein (Verständnis-) Problem ist nämlich wie ich eine ACL an das VLAN binde. Ich kann nur einzelnen physikalischen Ports am Switch zuweisen und da ist es ein wenig schwachsinnig warum ich das auf jeden Port tun sollte welcher im VLAN liegt, oder?
Bitte warten ..
Mitglied: aqui
10.03.2016, aktualisiert um 13:52 Uhr
hinter den beiden Switchen gibts noch mehr, welche aber nach dem selben Prinzip eingerichtet sind.
Eine sehr üble und gruselige Konstellation die dir vermutlich immer Probleme bereiten wird !
Der 1920 ist nur über das Webinterface konfigurierbar, Ist der offizielle Weg laut Doku von HP.
HP Schrott und ein Grund sowas nicht zu kaufen... :-( face-sad
Du meinst damit also den Port wo der Gateway dran hängt?
Ganz genau !
Mein (Verständnis-) Problem ist nämlich wie ich eine ACL an das VLAN binde.
Das ist auch nicht ganz trivial, denn bei einem reinen L2 Switch muss ja jeder Port auf die L3 Adressen filtern...logisch. Denn so ein Switch hat ja kein L3 Interface in dem Sinne wie es ein L3 Switch hat das alle diese Pakete zenral passieren müssen.
Folglich muss also in einem reinen L2 VLAN jeder Port die ACL lesen und anwenden.
Das kann nicht jede Switch Hardware und sollte man im Handbuch abklären. Klar, denn das erfordert einen netsprechend leistungsfähigen ASIC im Switch der noch etwas mehr lesen kann als die Mac Adresse. Billige L2 Switches aus dem Blödmarkt Regal und auch einige Websmart Switches können in der Regel aus diesem Grund keine Port basierten L3 ACLs abarbeiten. Bessere Switches hingegen schon.
Bitte warten ..
Mitglied: markuswo
14.03.2016 um 09:40 Uhr
Nach einigen weiteren sinnlosen Stunden mit dem HP 1920 habe ich mir am Wochenende den SG300-28 gegönnt... ich muss sagen ich fühl mich wie ein verliebter Teenie, geiles Ding! Die ein wenig eingerosteten Cisco CLI Basics waren doch noch zu etwas zu gebrauchen.

Eine Sache dich ich noch nicht hinbekommen habe...
Situation:
- Traffic zwischen VLAN30 und VLAN20 ist gesperrt
- Alle anderen IP's aus VLAN30 gehen (VLAN10,1,Internet...)

Nun möchte ich das für alle Rechner aus dem VLAN30 der Zugriff auf HTTP von einem bestimmten Server im VLAN20 erlaubt ist, ausschließlich HTTP.
Irgendwie schaffe ich es nicht den HTTP Zugriff auf einen Rechner speziell freizugeben, ich kann nur auf das gesamte VLAN20 HTTP erlauben.
Geht das überhaupt in einer ACL?
Bitte warten ..
Mitglied: aqui
LÖSUNG 14.03.2016, aktualisiert um 17:04 Uhr
Siehste...ist doch unser reden hier die ganze Zeit die Finger von dem HP Müll zu lassen ;-) face-wink
Nun möchte ich das für alle Rechner aus dem VLAN30 der Zugriff auf HTTP von einem bestimmten Server im VLAN20 erlaubt ist,
Das ist etwas wirr...sorry von, auf, an...das ist missverständlich.
Verstehen wir das richtig das du von allen Rechnerne im VLAN 30 Zugriff auf einen einzelnen Webserver im VLAN 20 haben willst aber sonst VLAN 20 für das VLAN 30 tabu ist ??
Geht das überhaupt in einer ACL?
Natürlich ! Vermutlich kannst du nicht wirklich mit Wildcard Bits in den ACLs umgehen, kann das sein ?
Wenn die obige Logik richtig ist, ist das kinderleicht mit der folgenden ACL an VLAN 30:
permit tcp any 192.168.3.0 0.0.0.255 host 192.168.2.100 eq http
deny 192.168.3.0, 0.0.0.255, 192.168.2.0, 0.0.0.255
permit any any


Das erlaubt allen mit TCP 80 aus dem VLAN 30 192.168.3.0 /24 auf den Server 192.168.2.100. (Statt "host" kannst du auch 0.0.0.0 als Wildcard Bits angeben.)
Verbietet dann den Rest ins .2.0er Netz
Erllaubt alles andere
Wo ist denn nun dein wirkliches Problem ?
Bitte warten ..
Mitglied: markuswo
14.03.2016 um 20:56 Uhr
Das ist etwas wirr...sorry von, auf, an...das ist missverständlich.

Hast es aber doch richtig verstanden :D

Ich habs jetzt hinbekommen, waren noch paar Anpassungen in der Syntax notwendig. Eine Mischung aus meinen Versuchen und deinen Tipps hat folgendes ergeben, was jetzt funktioniert.


Bitte warten ..
Mitglied: aqui
19.03.2016 um 12:08 Uhr
Was auch immer "ace-priority" ist...HP Schrott vermutlich....
Aber gut wenn nun alles klappt wie es soll..
Bitte warten ..
Mitglied: markuswo
20.03.2016 um 01:00 Uhr
"ace-priority" ist...HP Schrott vermutlich....

Nope, ist ja schon vom Cisco die access-lists. ;)

ace-priority ist die Prio der Regeln, wenn er die halt nicht nach "auto" einordnen soll
Bitte warten ..
Mitglied: aqui
20.03.2016 um 13:45 Uhr
OK...erwischt. Ich nehm' alles zurück und behaupte das Gegenteil :-D face-big-smile
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 22 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 17 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...