5
Cisco ACL - besserer Weg als allow all
Hallo Zusammen,
ich habe mein Netzwerk mittels VLAN segmentiert. Soweit läuft auch alles. Auf dem Cisco SG350 (als L3 Switch) habe ich mehrere VLAN eingerichtet. Mittels ACL/ACE möchte ich den zugriff untereinander regeln.
Ein Beispiel:
Wenn ich jetzt ein neues VLAN hinzufüge muss ich alle bestehenden VLAN-Regeln anpassen.
den Eintrag
habe ich um ins Internet zu kommen.
Static Route
Geht es anstatt diese Any-Regel auch über ein Eintrag im Sinne Allow VLAN80. Aber das habe ich bisher nicht hinbekommen.
Also eher alles ist Grundsätzlich verboten und ich gebe nur den Teil frei der erlaubt ist.
ich habe mein Netzwerk mittels VLAN segmentiert. Soweit läuft auch alles. Auf dem Cisco SG350 (als L3 Switch) habe ich mehrere VLAN eingerichtet. Mittels ACL/ACE möchte ich den zugriff untereinander regeln.
Ein Beispiel:
100 Permit Disabled UDP Any Any Any Any Any 67
2000 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.10.0 0.0.0.255
3000 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.20.0 0.0.0.255
4000 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.30.0 0.0.0.255
5000 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.40.0 0.0.0.255
5200 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.70.0 0.0.0.255
7000 Deny Enabled Any (IP) 172.16.50.0 0.0.0.255 172.16.99.0 0.0.0.255
10000 Permit Disabled Any (IP) Any Any Any AnyWenn ich jetzt ein neues VLAN hinzufüge muss ich alle bestehenden VLAN-Regeln anpassen.
den Eintrag
10000 Permit Disabled Any (IP) Any Any Any AnyStatic Route
0.0.0.0 0 Remote 172.16.80.1 5 VLAN 80Also eher alles ist Grundsätzlich verboten und ich gebe nur den Teil frei der erlaubt ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 558999
Url: https://administrator.de/contentid/558999
Printed on: May 1, 2024 at 03:05 o'clock
5 Comments
Latest comment
Any-Regel auch über ein Eintrag im Sinne Allow VLAN80
Ja, natürlich: deny ip 172.16.80.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.80.0 0.0.0.255 any
Das erlaubt dann VLAN 80 ins Internet verbietet aber den Zugriff vom VLAN 80 in die anderen 172.16er VLANs.
War es das was du erreichen willst ?
Wenn du nur die VLANs bis 172.16.127 sperren willst und die dadrüber freigeben willst dann sähe es so aus:
deny ip 172.16.80.0 0.0.0.255 172.16.0.0 0.0.127.255
permit ip 172.16.80.0 0.0.0.255 any
Die Wildcard Maske ist dein bester Freund !
Nein, nicht ganz.
Alle VLAN sollen ins Internet kommen.
Wenn ich jetzt ein neues VLAN hinzufüge (z.B. 150) muss ich in allen bestehenden VLAN ein deny VLAN150 hinzufügen, da der Eintrag
10000 Permit Disabled Any (IP) Any Any Any Any
ja alles erlaubt.
Letztendlich sollen die VLANS Grundsätzlich nichts dürfen außer ins Internet. Den Rest nur nach Freigabe.
Alle VLAN sollen ins Internet kommen.
Wenn ich jetzt ein neues VLAN hinzufüge (z.B. 150) muss ich in allen bestehenden VLAN ein deny VLAN150 hinzufügen, da der Eintrag
10000 Permit Disabled Any (IP) Any Any Any Any
ja alles erlaubt.
Letztendlich sollen die VLANS Grundsätzlich nichts dürfen außer ins Internet. Den Rest nur nach Freigabe.
Alle VLAN sollen ins Internet kommen.
Dann musst du an jedem Layer 3 VLAN Interface des Switches immer: permit ip 172.16.<vlan_id>.0 0.0.0.255 any
definieren !
Bzw. wenn die VLANs rein nur ins Internet dürfen dann immer Folgendes an den Layer 3 Switch Interfaces:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Das geht dann davon aus das alle deine VLANs mit einem 172.16er Prefix definiert sind.
Ok,
also muss ich dann, wenn ich eine neues VLAN habe, die DENY-Regeln anpassen. Dachte es ginge einfacher
Danke dir
Edit:
Das schaue ich mir mal genauer an:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
also muss ich dann, wenn ich eine neues VLAN habe, die DENY-Regeln anpassen. Dachte es ginge einfacher
Danke dir
Edit:
Das schaue ich mir mal genauer an:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Jein !
Wenn das VLAN wie alle anderen im 172.16er Bereich liegt dann natürlich nicht !
Wenn es in einem der anderen RFC 1918 IP Bereich liegt dann ja.
Du kannst die ACL aber auch gleich am Anfang diesbezüglich ganz wasserdicht machen mit:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Das filtert dir dann generell alle RFC 1918 IP Netze wech.
Wenn das VLAN wie alle anderen im 172.16er Bereich liegt dann natürlich nicht !
Wenn es in einem der anderen RFC 1918 IP Bereich liegt dann ja.
Du kannst die ACL aber auch gleich am Anfang diesbezüglich ganz wasserdicht machen mit:
deny ip 172.16.<vlan_id>.0 0.0.0.255 172.16.0.0 0.15.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 172.16.<vlan_id>.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 172.16.<vlan_id>.0 0.0.0.255 any
Das filtert dir dann generell alle RFC 1918 IP Netze wech.
