Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco SG350XG - ACL nachträglich bearbeiten

Mitglied: Knorkator

Knorkator (Level 2) - Jetzt verbinden

23.04.2019 um 16:53 Uhr, 236 Aufrufe, 6 Kommentare

Hallo,

ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal nachfragen..

Mir ist aufgefallen, dass ich keine ACEs hinzufügen kann, wenn die ACL an ein VLAN gebunden ist.
Einziger Weg: Bindung aufheben, ACE ändern oder hinzufügen, Bindung herstellen.
Während des ACL entbunden ist, habe ich auf dem Vlan doch alle Türen offen..
Irgendwie erschließt sich mir die Logik dahinter nicht.

Bitte um Aufklärung... vielleicht hab ich ja auch grundsätzlich noch nen Denkfehler und hab das mit den ACLs trotz vieler Beiträge dazu, noch nicht 100% kapiert.

Im Beispiel mache ich folgendes:

Aus Vlan 1 (Client-Vlan) soll nur ein Client auf Vlan 10 (Switch MGMT) zugreifen dürfen.
Quasi ein Management-PC.

Daher gilt:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip any any ace-priority 30

Nr. 30, weil die Systeme grundsätzlich in alle anderen Netze dürfen, auch in´s Internet.

Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?


Vielen Dank im voraus!
Mitglied: aqui
23.04.2019, aktualisiert um 17:11 Uhr
Hatten wir das Thema nicht gerade heute...?!
https://administrator.de/forum/acls-cisco-sg350-443412.html#comment-1361 ...

Deine ACL ist richtig, allerdings kosmetisch besser wäre:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip 10.101.100.0 0.0.0.255 any ace-priority 30


Any zu any solltest du besser nicht verwenden, denn das würde auch Clients mit wilden oder bösen Fremd IPs im VLAN 1 den Weg nachdraussen ebnen.
Mit dem ACE Feature solltest du die ACL auch online anpassen können ohne das Binding aufzuheben.
Adavanced Option hast du im GUI aktiviert ?
Bitte warten ..
Mitglied: Knorkator
24.04.2019 um 09:01 Uhr
Hallo Aqui,

habe das Thema auch gesehen.
Danke für den Tipp bzgl. der Any-Regel.

Hast Du nen Tipp bzgl. des eigentlichen Themas?


Vielen Dank.
Bitte warten ..
Mitglied: Knorkator
24.04.2019 um 10:48 Uhr
Zitat von Knorkator:
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?

Ich hab da noch etwas..

Angenommen, ich hab 20 Vlans in meinem Netz.
Ich richte nun ein weiteres ein (Vlan666), welches nur von einem der 20 anderen Vlans erreichbar sein darf.

Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?

Ich gebe Dir ja recht, dass das Paket so früh wie möglich gestoppt werden soll, als eine ACL pro Vlan, aber der Konfigurationsaufwand ist ja doch recht hoch dabei.

Demnach wäre eine "von außerhalb nach VLAN666) ACL schon sinnvoll.
Das ist ja quasi auch eine "eingehende" Regel.

Vielen Dank im voraus für die Mühe, dieses Thema das 100. mal erklären zu müssen.
Aber trotz der anderen Beiträge bin ich unsicher, ob ich nicht etwas übersehe.
Bitte warten ..
Mitglied: aqui
24.04.2019 um 15:01 Uhr
Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?
Es geht auch einfacher....
Es ist dann sinnvoller an diesem VLAN Interface eine PERMIT Regel in des Ziel VLAN einzurichten, danach alles anderen VLANs zu deny"en".
Wenn du einen intelligente VLAN Adressierung hast, das z.B. alles VLANs im 172.20.x.y Bereich liegen ist das ein 3 Zeiler:
PERMIT ip 172.20.66.0 0.0.0.255 172.20.3.0 0.0.0.255
DENY ip 172.20.66.0 0.0.0.255 172.20.0.0 0.0.255.255
(PERMIT ip 172.20.66.0 0.0.0.255 any )

Letzte Zeile nur wenn du auch Internet Zugang erlauben willst.
Aber du kannst das auch mit einer Outbound Regel erschlagen. Vergiss aber nicht das die immer CPU switched arbeiten. Die skalieren also nicht so wie Inbound Regeln.
Bitte warten ..
Mitglied: Knorkator
29.04.2019 um 16:44 Uhr
Ok, Danke für die Hilfestellung.
Muss ich erstmal sacken lassen..


Bzgl. intelligenter Vlan Adressierung:
Ich bin grundsätzlich noch völlig frei in der Gestaltung.
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.

Ich melde mich wieder wenn ich Zeit dafür finde!

Vielen Dank!
Bitte warten ..
Mitglied: aqui
29.04.2019, aktualisiert um 17:12 Uhr
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.
Dann ist das ja eine intelligente Adressierung. Du hast ja dann keine wild durcherinandergehende Adressierung sondern alles in diesem Bereich.
Dann sähe das so aus wenn VLAN 66 aufs VLAN 3 darf (jetzt mal 24er Prefixe angenommen und das 3te Byte entspricht der VLAN ID)):
PERMIT ip 10.101.66.0 0.0.0.255 10.101.3.0 0.0.0.255
DENY ip 10.101.66.0 0.0.0.255 10.101.0.0 0.0.255.255
(PERMIT ip 10.101.66.0 0.0.0.255 any <== Wenn Internet erlaubt ist)
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco extended ACL
gelöst Frage von ImTRYINFirewall23 Kommentare

Hallo! Suche dringend hilfe beim implementieren einer ACL für einen Cisco Router. Situation: Implementieren Sie eine Extended ACL mit ...

Switche und Hubs
Cisco ACL Übungen Erklärung
Frage von Luzifer696Switche und Hubs5 Kommentare

Hallo, Bin derzeit in der Schule und machen dort gerade Cisco Router und Switches durch. Ich habe am MI ...

LAN, WAN, Wireless
Cisco ASA Priority Queue via ACL
Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich würde gerne Videotraffic von einem externen Server im lokalen LAN Prioritisieren, momentan ruckeln Videos sehr wenn ein ...

LAN, WAN, Wireless
Cisco Netzwerk Asistent VLAN ACL Anlegen
gelöst Frage von Herbrich19LAN, WAN, Wireless50 Kommentare

Hallo, Ich habe ein Cisco Catalyst 3550 Switch. Ich möchte auf diesen nun eine ACL Anlegen die in VLAN ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 7 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server21 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
Frage von samreinWindows Server14 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...