Cisco ACL - besserer Weg als allow all

Hallo Zusammen,

ich habe mein Netzwerk mittels VLAN segmentiert. Soweit läuft auch alles. Auf dem Cisco SG350 (als L3 Switch) habe ich mehrere VLAN eingerichtet. Mittels ACL/ACE möchte ich den zugriff untereinander regeln.

Ein Beispiel:

Permit 	Disabled 			UDP	Any	Any	Any	Any	Any	67						
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.10.0	0.0.0.255								
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.20.0	0.0.0.255								
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.30.0	0.0.0.255								
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.40.0	0.0.0.255								
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.70.0	0.0.0.255								
Deny 	Enabled 			Any (IP)	172.16.50.0	0.0.0.255	172.16.99.0	0.0.0.255								
Permit 	Disabled 			Any (IP)	Any	Any	Any	Any

Wenn ich jetzt ein neues VLAN hinzufüge muss ich alle bestehenden VLAN-Regeln anpassen.

den Eintrag

10000 	Permit 	Disabled 			Any (IP)	Any	Any	Any	Any

habe ich um ins Internet zu kommen.

Static Route

0.0.0.0 	0 	Remote 	172.16.80.1 	5 	VLAN 80

Geht es anstatt diese Any-Regel auch über ein Eintrag im Sinne Allow VLAN80. Aber das habe ich bisher nicht hinbekommen.
Also eher alles ist Grundsätzlich verboten und ich gebe nur den Teil frei der erlaubt ist.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 558999

Url: https://administrator.de/contentid/558999

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

5 Kommentare

Neuester Kommentar

Any-Regel auch über ein Eintrag im Sinne Allow VLAN80

Ja, natürlich:
deny ip 172.16.80.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.80.0 0.0.0.255 any
Das erlaubt dann VLAN 80 ins Internet verbietet aber den Zugriff vom VLAN 80 in die anderen 172.16er VLANs.
War es das was du erreichen willst ?

Wenn du nur die VLANs bis 172.16.127 sperren willst und die dadrüber freigeben willst dann sähe es so aus:
deny ip 172.16.80.0 0.0.0.255 172.16.0.0 0.0.127.255
permit ip 172.16.80.0 0.0.0.255 any

Die Wildcard Maske ist dein bester Freund !

Nein, nicht ganz.

Alle VLAN sollen ins Internet kommen.

Wenn ich jetzt ein neues VLAN hinzufüge (z.B. 150) muss ich in allen bestehenden VLAN ein deny VLAN150 hinzufügen, da der Eintrag

10000 Permit Disabled Any (IP) Any Any Any Any

ja alles erlaubt.

Letztendlich sollen die VLANS Grundsätzlich nichts dürfen außer ins Internet. Den Rest nur nach Freigabe.

Alle VLAN sollen ins Internet kommen.

Dann musst du an jedem Layer 3 VLAN Interface des Switches immer:
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
definieren !
Bzw. wenn die VLANs rein nur ins Internet dürfen dann immer Folgendes an den Layer 3 Switch Interfaces:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Das geht dann davon aus das alle deine VLANs mit einem 172.16er Prefix definiert sind.

Ok,

also muss ich dann, wenn ich eine neues VLAN habe, die DENY-Regeln anpassen. Dachte es ginge einfacher

Danke dir

Edit:

Das schaue ich mir mal genauer an:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any

Jein !
Wenn das VLAN wie alle anderen im 172.16er Bereich liegt dann natürlich nicht !
Wenn es in einem der anderen RFC 1918 IP Bereich liegt dann ja.
Du kannst die ACL aber auch gleich am Anfang diesbezüglich ganz wasserdicht machen mit:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Das filtert dir dann generell alle RFC 1918 IP Netze wech.

gelöst Frage Netzwerke Router, Routing

Mehr von darkness08

Ersatz für defektes Draytek Vigor 165 (bridge mode)darkness08 - 7 Kommentare

Multicast und SMA Gerätedarkness08 - 4 Kommentare

Eigene Hardware + VLAN an Vodafone Kabeldarkness08 - 12 Kommentare

6in4 Tunnel zum Server - kein Ping in eine Richtungdarkness08 - 11 Kommentare

Heiß diskutiert