5
ACLs bei Cisco SG350
Hallo Zusammen,
ich versuche seit einiger Zeit meinen SG350 mittels ACLs abzusichern.
Bisheriger Aufbau:
VLAN 1, 172.16.1.0/24
VLAN 20 172.16.20.0/24
...
VLAN 60 172.16.60.0/24
VLAN 70 192.168.178.2
VLAN70 = internet mit Fritzbox
Soweit klappt alles. Routing ist global an.
Jetzt möchte ich gerne die VLANs gegeneinander abtrennen.
In einem ersten Versuch wollte ich den Zugriff auf VLAN1 nur aus dem VLAN40 zulassen.
Nachdem ich hier schon einige Beiträge gelsen habe, habe ich es so versucht:
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
und dem VLAN1 dann dotOne zugewiesen.
Mein Verständnis war jetzt so, dass der Traffic von VLAN40 inbound VLAN1 ist und somit die erste Regel Zutreffen sollte.
Also VLAN40 kann auf VLAN1 zugreifen, alle andern aber nicht.
Wo liegt denn hier mein Fehler?
Edit:
Oder muss ich noch ein permit any any anfügen. Aber ich wollte eigentlich alles verbieten und explizit erlauben?
ich versuche seit einiger Zeit meinen SG350 mittels ACLs abzusichern.
Bisheriger Aufbau:
VLAN 1, 172.16.1.0/24
VLAN 20 172.16.20.0/24
...
VLAN 60 172.16.60.0/24
VLAN 70 192.168.178.2
VLAN70 = internet mit Fritzbox
Soweit klappt alles. Routing ist global an.
Jetzt möchte ich gerne die VLANs gegeneinander abtrennen.
In einem ersten Versuch wollte ich den Zugriff auf VLAN1 nur aus dem VLAN40 zulassen.
Nachdem ich hier schon einige Beiträge gelsen habe, habe ich es so versucht:
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
und dem VLAN1 dann dotOne zugewiesen.
Mein Verständnis war jetzt so, dass der Traffic von VLAN40 inbound VLAN1 ist und somit die erste Regel Zutreffen sollte.
Also VLAN40 kann auf VLAN1 zugreifen, alle andern aber nicht.
Wo liegt denn hier mein Fehler?
Edit:
Oder muss ich noch ein permit any any anfügen. Aber ich wollte eigentlich alles verbieten und explizit erlauben?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 443412
Url: https://administrator.de/contentid/443412
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
Zu ACL's gab es hier schon mehrfach Beiträge
Wie sind den deine ip adressen in den jeweiligen VLAN's?
Brammer
Zu ACL's gab es hier schon mehrfach Beiträge
Wie sind den deine ip adressen in den jeweiligen VLAN's?
Brammer
Hey,
Konkretes Beispiel.
PC in VLAN40 (172.16.40.10) so Zugriff auf PC in VLAN 1 (172.16.1.1) haben. Die anderen VLANs habe ich erst mal nicht betrachtet.
so habe ich die ACL erstellt
Mein Verständnis ist, dass alles aus 172.16.40.0 Zugriff auf 172.16.1.0 hat
anschließend mittels
an das VLAN 1 gebunden.
Danach habe ich aber keinen Zugriff von 172.16.40.10 auf die 172.16.1.1
Edit: VLAN1 hat die 172.16.1.254 und VLAN40 die 172.16.40.254
Konkretes Beispiel.
PC in VLAN40 (172.16.40.10) so Zugriff auf PC in VLAN 1 (172.16.1.1) haben. Die anderen VLANs habe ich erst mal nicht betrachtet.
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255so habe ich die ACL erstellt
Mein Verständnis ist, dass alles aus 172.16.40.0 Zugriff auf 172.16.1.0 hat
anschließend mittels
service-acl input dotOne default-action deny-anyan das VLAN 1 gebunden.
Danach habe ich aber keinen Zugriff von 172.16.40.10 auf die 172.16.1.1
Edit: VLAN1 hat die 172.16.1.254 und VLAN40 die 172.16.40.254
Mein Verständnis war jetzt so,
Was leider vollkommen falsch ist 
Grundlage sind immer 2 Punkte:
- ACL greifen nur inbound (bei besseren Modellen auch outbound) also eingehend am Layer 3 VLAN Interface
- "vorne" steht die Source IP "hinten" die Destination IP
- Es gilt wie bei Firewalls: "First match wins". Sprich der erste Hit in der ACL bewirkt das der Rest nicht mehr abgearbeitet wird.
Nehmen wir jetzt als Beispiel das die Traffic vom VLAN 1 ins VLAN 20 unterbinden willst aber VLAN 1 darf ins Internet:
Die ACL kommt also ans VLAN 1 Interface, Souce ist VLAN 1 IP und Destination VLAN 20 IP.
Folglich lautet die Regel:
ip access-list novlan20
deny ip 172.16.1.0 0.0.0.255 172.16.20.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 any
Sprich also:
- Blocke alles was von 172.16.1.x kommt und als Ziel 172.16.20.x hat und
- erlaube sonst alles von 172.16.1.x in die ganze Welt.
Bei deinem Beispiel ist es richtig wenn du:
ip access-list extended dotOne
permit ip 172.16.40.0 0.0.0.255 172.16.1.0 0.0.0.255
(deny any any) --> Ist immer Default
eingibst erlaubt das allen Traffic von Source 172.16.40.x ins vlan 1 (Destination) 172.16.1.x.
Allerdings ist es hier dann essentiell wichtig WO diese ACL aktiviert ist !!
an das VLAN 1 gebunden.
Und genau hier siehst du auch deinjen logischen Denkfehler.Du hast diese ACL Liste aufs VLAN 1 gebunden. Dort soll diese Liste also alle Absender IP Adressen filtern die auf 172.16.40.x lauten und ins 172.16.1.x Netz gehen.
Wenn du jetzt nur selber ein klein wenig mal nachdenkst wirst du selber auch erkennen das diese Liste dort nie greifen kann, denn wie bitte sollen am VLAN 1 Interface jemals IP Pakete ankommen die eine .40.0er Absender IP haben ?
Bedenke hier das die ACL bei den einfachen SG Modellen rein nur inbound also eingehend ins Interface gelesen wird !
Nur die besseren Modelle haben auch eine outbound Option, die man aber besser nie nutzt wenn irgend möglich, da das immer über die CPU muss und Performance kostet.
Ausserdem ist es ja meist sinnfrei Pakete erst in den Switch zu lassen um sie dann im Ausgang wieder zu filtern. Wenn möglich also immer inbound ACLs nutzen!
Da ACLs inbound greifen sollten muss diese ACL dann logischerweise ans IP Interface von VLAN 40 !
Wenn du sie ans IP Interface von VLAN 1 konfiguriert kann es nie funktionieren, denn dort kommen ja wie bereits gesagt niemals Pakete an die eine Absender IP von .40.x haben. Diese Regel wäre dort also völlig sinnfrei.
Das ist vermutlich der fundamentale Denkfehler den du machst ?!
Pass das also an, dann klappt das auch sofort !
Ahh, ich glaube es hat klick gemacht ;)
Ich habe gedacht, dass Paket kommt vom VLAN40 zum VLAN1 und ist daher inbound VLAN1.
Aber ich muss also "in Richtung PC" gucken. Inbound heißt also irgendwo in den Switch rein kommen (sehr laienhaft ausgedrückt).
Werde später mal testen und berichten.
Danke.
Ich habe gedacht, dass Paket kommt vom VLAN40 zum VLAN1 und ist daher inbound VLAN1.
Aber ich muss also "in Richtung PC" gucken. Inbound heißt also irgendwo in den Switch rein kommen (sehr laienhaft ausgedrückt).
Werde später mal testen und berichten.
Danke.
Ahh, ich glaube es hat klick gemacht ;)
Na das hoffen wir mal... Inbound heißt also irgendwo in den Switch rein kommen
Ja, ganz genau. Laienhaft ist hierbei völlig egal wenn es hilft die Logik dahinter zu verstehen. Also immer vom Netzwerk Draht IN das Interface hinein ist die ACL Sichtweise. Das gilt für alle Router FWs usw.Werde später mal testen und berichten.
Wir sind gespannt...!
