1
Arista acl greift nicht
Hallo zusammen,
ich arbeite mich grade etwas in Arista ACL ein und verstehe nicht so ganz warum ich immer noch von 192.168.2.0 auf die IP im Subnetz 10.3.32.0 (per Ping) habe.
Hat jemand einen Anreiz was hier falsch ist?
Ich versuche sämtlichen Zugriff aus den 3 IP Bereichen zu unterbinden.
Grüße
Gansa28
ich arbeite mich grade etwas in Arista ACL ein und verstehe nicht so ganz warum ich immer noch von 192.168.2.0 auf die IP im Subnetz 10.3.32.0 (per Ping) habe.
Hat jemand einen Anreiz was hier falsch ist?
Ich versuche sämtlichen Zugriff aus den 3 IP Bereichen zu unterbinden.
#show active
interface Vlanxxx
description VLANxxx_DMZ
ip address 10.3.32.1/30
ip access-group acl-internal-to-DMZ in
#show ip access-lists
IP Access List acl-internal-to-DMZ
10 deny ip 192.168.0.0/24 10.3.32.0/30
20 deny ip 192.168.1.0/24 10.3.32.0/30
30 deny ip 192.168.2.0/24 10.3.32.0/30
40 permit ip any any
IP Access List default-control-plane-acl [readonly]
statistics per-entry
10 permit icmp any any [match 75368031, 0:00:00 ago]
20 permit ip any any tracked [match 73870, 0:00:00 ago]
30 permit udp any any eq bfd ttl eq 255
40 permit udp any any eq bfd-echo ttl eq 254
50 permit ospf any any
60 permit tcp any any eq ssh telnet www snmp bgp https msdp [match 29, 1:49:21 ago]
70 permit udp any any eq bootps bootpc snmp rip ntp [match 5004024, 0:00:00 ago]
80 permit tcp any any eq mlag ttl eq 255
90 permit udp any any eq mlag ttl eq 255
100 permit vrrp any any
110 permit ahp any any
120 permit pim any any
130 permit igmp any any
140 permit tcp any any range 5900 5910
150 permit tcp any any range 50000 50100
160 permit udp any any range 51000 51100Grüße
Gansa28
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670215
Url: https://administrator.de/contentid/670215
Ausgedruckt am: 16.12.2024 um 18:12 Uhr
1 Kommentar
und verstehe nicht so ganz warum ich
Dazu muss man wissen ob Netzwerk Traffic mit .2.0er Absenderadressen auch über das 10.3.32.0/30er VLANxxx Interface auf den Switch gelangt, denn nur dann kann dort überhaupt eine .2.x Absender IP auftauchen. Leider machst du zu deinem IP Adress und Netzdesign keinerlei hilfreiche Angaben so das die Frage ohne kristallkugeln nur schwer zu beantworten ist. 
Es gibt ggf. einen Grund warum die acl-internal-to-DMZ ACL vermutlich sinnfrei ist.
Du verwendest eine /30er Maske was darauf schliessen lässt das dieses VLANxxx ein reines Punkt zu Punkt VLAN ist. Du hast also nur ganze 2 adressierbare Hostadressen dort. Das ist zum einen die VLAN IP des lokalen Switches und die des Switches, Routers am gegenüberliegenden Ende, sprich die .1 und .2.
Mehr nutzbare Hostadressen die von der ACL überhaupt geblockt werden könnten gibt es in diesem Subnetz nicht und man fragt sich wo da die tiefere Logik dieser ACL liegen soll?? 🤔
Access Restrictions aufs Management eines Switches realisiert man bekanntlich nicht mit ACLs.
Mal ganz davon abgesehen das man Punkt zu Punkt Verbindungen sinnvoller und effizienter mit einer /31 Subnetzmaske betreiben kann. Siehe dazu auch HIER. Wie alle anderen Hersteller supportet natürlich auch Arista diesen RFC.
Wenn du also beantworten könntest...
- von WO die .2.x Absender IPs kommen und
- welche sinnvollen Endgeräte IPs du im 10.3.32.0/30er Netz denn pingen willst
Sehr wahrscheinlich erreicht .2.0er Traffic den Switch über ein anderes Interface (geraten) so das die ACL am VLANxxx Interface inbound nicht greift?! Andere geratene Option ist das ggf. irgendwo NAT (Adress Translation) dazwischen ist und die .2.0er Absender IPs nicht mehr als solche am VLANxxx auftauchen.
Ohne dein Layer 3 Design besser zu kennen ist das, wie bereits gesagt, Raten im freien Fall.
ACLs wirken hier inbound also vom Netzwerk Draht in den Switch hinein und es gilt das übliche first match wins.
