11
Cisco SG300 ACLs einrichten
Hallo zusammen,
Ich habe folgendes Netzwerk (nur ein Beispiel) bzw. es gibt folgende VLANs deren Zugriff reglementiert werden soll:
Ich habe nun ACLs definiert:
VLAN2
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any
VLAN3
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any
VLAN4
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any
VLAN5
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any
VLAN6
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
permit any any
(Da ich nur rudimentäre Kenntnisse von ACLs besitze) würde man so die Zugriffsbeschränkungen definieren? Ich habe z.B gelesen, dass es besser wäre per se erst einmal alles zu verbieten (deny any any). In dem Fall habe ich keinen Internetzugang mehr (Router ist in VLAN1).
Eine grundlegende Frage stellt sich mir auch noch. Mir ist nicht ganz klar: Kann ich nur den ausgehenden Verkehr verbieten also z.b deny any 192.168.4.0? Denn umgekehrt deny 192.168.4.0 any funktioniert nicht. Hat keine Wirkung?
Hoffe ihr könnt mir weiterhelfen und ein paar Tipps geben.
Viele Grüße
Ich habe folgendes Netzwerk (nur ein Beispiel) bzw. es gibt folgende VLANs deren Zugriff reglementiert werden soll:
Ich habe nun ACLs definiert:
VLAN2
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any
VLAN3
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any
VLAN4
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any
VLAN5
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any
VLAN6
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
permit any any
(Da ich nur rudimentäre Kenntnisse von ACLs besitze) würde man so die Zugriffsbeschränkungen definieren? Ich habe z.B gelesen, dass es besser wäre per se erst einmal alles zu verbieten (deny any any). In dem Fall habe ich keinen Internetzugang mehr (Router ist in VLAN1).
Eine grundlegende Frage stellt sich mir auch noch. Mir ist nicht ganz klar: Kann ich nur den ausgehenden Verkehr verbieten also z.b deny any 192.168.4.0? Denn umgekehrt deny 192.168.4.0 any funktioniert nicht. Hat keine Wirkung?
Hoffe ihr könnt mir weiterhelfen und ein paar Tipps geben.
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207807
Url: https://administrator.de/contentid/207807
Ausgedruckt am: 16.11.2024 um 22:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo
Erstmal danke für die Übersichtliche Darstellung.
Ich frage mich wieso du nicht die ACLs über die Firewall definierst.
Dort könntest du sauber von Denny all aufarbeiten bis du alles sauber hast und könntest alles andere auch definieren...
Gruss
adminst
Erstmal danke für die Übersichtliche Darstellung.
Ich frage mich wieso du nicht die ACLs über die Firewall definierst.
Dort könntest du sauber von Denny all aufarbeiten bis du alles sauber hast und könntest alles andere auch definieren...
Gruss
adminst
Leider habe ich keine Firewall. Die ACLs definiere ich beim Switch (Layer 3 Modus).
Moin moin,
ein permit ip any any ist ansich schonmal der falsche Ansatz, da du damit jeglichen Datenverkehr erlaubst (natürlich ausgenommen der Range, die du expliziet verbietest)
Meiner Meinung wäre der bessere Ansatz die erlaubten Netze explizit festzulegen und dann ein deny any any zu machen.
kleines Beispiel:
wichtig ist es dann natürlich die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird.
Gruß Keks
P.S.: das deny any any am ende kannst du dir sparen, da Cisco in einer ACL am ende der Regelkette ein implizites deny any any hat.
ein permit ip any any ist ansich schonmal der falsche Ansatz, da du damit jeglichen Datenverkehr erlaubst (natürlich ausgenommen der Range, die du expliziet verbietest)
Meiner Meinung wäre der bessere Ansatz die erlaubten Netze explizit festzulegen und dann ein deny any any zu machen.
kleines Beispiel:
VLAN 2
permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
deny ip any anywichtig ist es dann natürlich die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird.
Gruß Keks
P.S.: das deny any any am ende kannst du dir sparen, da Cisco in einer ACL am ende der Regelkette ein implizites deny any any hat.
Danke für deine Antwort.
Hatte bereits versucht die ACLs so zu definieren, wie du es beschreibst. In dem Fall kann ich allerdings keine Webseiten mehr aus den VLANs 2,3,4,5,6 erreichen :S
Eventuell ist das der springende Punkt: "die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird"? Nur weiß ich nicht, wie ich das erreichen kann?
Hatte bereits versucht die ACLs so zu definieren, wie du es beschreibst. In dem Fall kann ich allerdings keine Webseiten mehr aus den VLANs 2,3,4,5,6 erreichen :S
Eventuell ist das der springende Punkt: "die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird"? Nur weiß ich nicht, wie ich das erreichen kann?
Auf dem Interface Vlan 2 sollte ein "access-group ACL-Name in" reichen.
Will jetzt das Datenpaket von Vlan 2 ins Vlan X, passiert es als erstes die ACL und wird danach erst ins Netzwerk weiter gegeben.
Das du Webseiten in allen anderen Vlans aufrufen möchtest stand aber nicht in deiner Frage, oder?
Gruß Keks
Will jetzt das Datenpaket von Vlan 2 ins Vlan X, passiert es als erstes die ACL und wird danach erst ins Netzwerk weiter gegeben.
Das du Webseiten in allen anderen Vlans aufrufen möchtest stand aber nicht in deiner Frage, oder?
Gruß Keks
Indirekt. Also die VLANs 2,3,4,5,6 sollen schon einen Internetzugang über den Router, der sich in VLAN1 befindet, bekommen. Nur wenn ich alles blockiere und nur 192.168.1.0 freigebe reicht das anscheinend nicht, um jedem VLAN Zugang zu gewähren.
Vielleicht noch zum Aufbau des Netzes: Der Switch (im Layer 3 Modus) befindet sich hinter dem Router (0815 Router, FritzBox). Auf dem Router sind Routen in die entsprechenden Subnetze eingetragen. Interfaces und VLANs sind am Switch eingetragen. Dort definiere ich auch die ACLs.
Vielleicht noch zum Aufbau des Netzes: Der Switch (im Layer 3 Modus) befindet sich hinter dem Router (0815 Router, FritzBox). Auf dem Router sind Routen in die entsprechenden Subnetze eingetragen. Interfaces und VLANs sind am Switch eingetragen. Dort definiere ich auch die ACLs.
Bei den ACLs gilt immer "First Match wins" !
Das heist die erste Bedingung die stimmt bewirkt das die nachfolgenden nicht mehr abgearbeitet werden.
D.h. die Reihenfolge in den Listen ist also essentiell wichtig.
Wenn du Produktivtraffic in VLAN 1 hast ist es besser den Internet Zugang in einseparates VLAB auszulagern, damit trennst du den dann komplett von Produktiv VLANs und vereinfachts die ACL Logik.
Wenn du in deinem Szenario also Internet haben willst in den VLANs 2,3,4,5 und 6 dann musst du die DENY Statements zuerst eingeben die den Internen Zugriff regeln.
Bei VLAN 2 z.B: das nicht auf 4,5 und 6 zugreifen soll aber Intrernet Zugang haben soll sähe das beispielhaft so aus:
deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
permit any anyAchtung das gilt für eine Inbound ACL also eingehend
Generell supporten Billigswitches meist nur Inbound ACL und keine Outbound ACLs.
Das musst du im Ciso Handbuch sicher klären.
An das Layer 3 Interface int vlan x bindest du diese ACL dann mit dem Kommando ip access-group xy in als incoming ACL ("out" dann entsprechend outbound wenn der Switch das kann)
Die Syntax ist jetzt Catalyst IOS Syntax der großen Brüder vom SG Billigsegement, dürfte aber identisch sein !
Das heist die erste Bedingung die stimmt bewirkt das die nachfolgenden nicht mehr abgearbeitet werden.
D.h. die Reihenfolge in den Listen ist also essentiell wichtig.
Wenn du Produktivtraffic in VLAN 1 hast ist es besser den Internet Zugang in einseparates VLAB auszulagern, damit trennst du den dann komplett von Produktiv VLANs und vereinfachts die ACL Logik.
Wenn du in deinem Szenario also Internet haben willst in den VLANs 2,3,4,5 und 6 dann musst du die DENY Statements zuerst eingeben die den Internen Zugriff regeln.
Bei VLAN 2 z.B: das nicht auf 4,5 und 6 zugreifen soll aber Intrernet Zugang haben soll sähe das beispielhaft so aus:
deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
permit any anyAchtung das gilt für eine Inbound ACL also eingehend
Generell supporten Billigswitches meist nur Inbound ACL und keine Outbound ACLs.
Das musst du im Ciso Handbuch sicher klären.
An das Layer 3 Interface int vlan x bindest du diese ACL dann mit dem Kommando ip access-group xy in als incoming ACL ("out" dann entsprechend outbound wenn der Switch das kann)
Die Syntax ist jetzt Catalyst IOS Syntax der großen Brüder vom SG Billigsegement, dürfte aber identisch sein !
@ aqui
Wenn ich dich jetzt richtig verstehe, kann ich die Regeln also so verwenden, wie ich Sie oben habe?? Die Regel für VLAN2 entspricht ja (fast) meiner obigen.
Okay..Im Cisco Forum habe ich jetzt einen Beitrag gefunden in dem steht: "Correct, there is not an inside or outside, the ACL is applied ingress only" (bezieht sich auf den SG300). Also gibt es nur eingehend.
Liest sich eine Regel dann so: Verbiete eingehenden Traffic nach 192.168.2.0 von 192.168.4.0 ?
Wenn ich dich jetzt richtig verstehe, kann ich die Regeln also so verwenden, wie ich Sie oben habe?? Die Regel für VLAN2 entspricht ja (fast) meiner obigen.
Okay..Im Cisco Forum habe ich jetzt einen Beitrag gefunden in dem steht: "Correct, there is not an inside or outside, the ACL is applied ingress only" (bezieht sich auf den SG300). Also gibt es nur eingehend.
Liest sich eine Regel dann so: Verbiete eingehenden Traffic nach 192.168.2.0 von 192.168.4.0 ?
Moin Synex,
der Switch kann somit nur inside ACL´s abarbeiten.
Halte dich bei der Konfiguration an das Beispiel von aqui, bei deinen Regeln fehlt das Sourcenetz...
Die Regel ließt sich dann so:
Verbiete eingehenden Traffic von 192.168.2.0 nach 192.168.4.0
Das Paket kommt am Port an, es ist also ein "incoming Paket"
Auf der Cisco Seite ist es eigentlich gut verständlich erklärt:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
gruß Keksdieb
der Switch kann somit nur inside ACL´s abarbeiten.
Halte dich bei der Konfiguration an das Beispiel von aqui, bei deinen Regeln fehlt das Sourcenetz...
Die Regel ließt sich dann so:
Verbiete eingehenden Traffic von 192.168.2.0 nach 192.168.4.0
Das Paket kommt am Port an, es ist also ein "incoming Paket"
Auf der Cisco Seite ist es eigentlich gut verständlich erklärt:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...
gruß Keksdieb
.@synex
Das war zu erwarten...wie gesagt bei Billigkomponenten immer nur ingress.
Die ACL Syntax liest sich dann am Beispiel:
//deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255/
so:
Verbiete Pakete mit der Absender IP 192.168.2.egal zur Ziel IP 192.168.4.egal
Also "Blocke alles was vom .2er Netz ins .4er Netz will " !
Es kommt immer erst die Source IP dann die Destination IP in einer ACL.
Damit solltest du das ja nun wasserdicht hinbekommen ?!
Das war zu erwarten...wie gesagt bei Billigkomponenten immer nur ingress.
Die ACL Syntax liest sich dann am Beispiel:
//deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255/
so:
Verbiete Pakete mit der Absender IP 192.168.2.egal zur Ziel IP 192.168.4.egal
Also "Blocke alles was vom .2er Netz ins .4er Netz will " !
Es kommt immer erst die Source IP dann die Destination IP in einer ACL.
Damit solltest du das ja nun wasserdicht hinbekommen ?!
Alles klar.
Vielen Dank allen, die mir Tipps gegeben haben!!!
Vielen Dank allen, die mir Tipps gegeben haben!!!
