6
Cisco SG350XG - ACL nachträglich bearbeiten
Hallo,
ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal nachfragen..
Mir ist aufgefallen, dass ich keine ACEs hinzufügen kann, wenn die ACL an ein VLAN gebunden ist.
Einziger Weg: Bindung aufheben, ACE ändern oder hinzufügen, Bindung herstellen.
Während des ACL entbunden ist, habe ich auf dem Vlan doch alle Türen offen..
Irgendwie erschließt sich mir die Logik dahinter nicht.
Bitte um Aufklärung... vielleicht hab ich ja auch grundsätzlich noch nen Denkfehler und hab das mit den ACLs trotz vieler Beiträge dazu, noch nicht 100% kapiert.
Im Beispiel mache ich folgendes:
Aus Vlan 1 (Client-Vlan) soll nur ein Client auf Vlan 10 (Switch MGMT) zugreifen dürfen.
Quasi ein Management-PC.
Daher gilt:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip any any ace-priority 30
Nr. 30, weil die Systeme grundsätzlich in alle anderen Netze dürfen, auch in´s Internet.
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?
Vielen Dank im voraus!
ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal nachfragen..
Mir ist aufgefallen, dass ich keine ACEs hinzufügen kann, wenn die ACL an ein VLAN gebunden ist.
Einziger Weg: Bindung aufheben, ACE ändern oder hinzufügen, Bindung herstellen.
Während des ACL entbunden ist, habe ich auf dem Vlan doch alle Türen offen..
Irgendwie erschließt sich mir die Logik dahinter nicht.
Bitte um Aufklärung... vielleicht hab ich ja auch grundsätzlich noch nen Denkfehler und hab das mit den ACLs trotz vieler Beiträge dazu, noch nicht 100% kapiert.
Im Beispiel mache ich folgendes:
Aus Vlan 1 (Client-Vlan) soll nur ein Client auf Vlan 10 (Switch MGMT) zugreifen dürfen.
Quasi ein Management-PC.
Daher gilt:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip any any ace-priority 30
Nr. 30, weil die Systeme grundsätzlich in alle anderen Netze dürfen, auch in´s Internet.
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?
Vielen Dank im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 443567
Url: https://administrator.de/contentid/443567
Ausgedruckt am: 23.11.2024 um 09:11 Uhr
6 Kommentare
Neuester Kommentar
Hatten wir das Thema nicht gerade heute...?! 
ACLs bei Cisco SG350
Deine ACL ist richtig, allerdings kosmetisch besser wäre:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip 10.101.100.0 0.0.0.255 any ace-priority 30
Any zu any solltest du besser nicht verwenden, denn das würde auch Clients mit wilden oder bösen Fremd IPs im VLAN 1 den Weg nachdraussen ebnen.
Mit dem ACE Feature solltest du die ACL auch online anpassen können ohne das Binding aufzuheben.
Adavanced Option hast du im GUI aktiviert ?
ACLs bei Cisco SG350
Deine ACL ist richtig, allerdings kosmetisch besser wäre:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip 10.101.100.0 0.0.0.255 any ace-priority 30
Any zu any solltest du besser nicht verwenden, denn das würde auch Clients mit wilden oder bösen Fremd IPs im VLAN 1 den Weg nachdraussen ebnen.
Mit dem ACE Feature solltest du die ACL auch online anpassen können ohne das Binding aufzuheben.
Adavanced Option hast du im GUI aktiviert ?
Hallo Aqui,
habe das Thema auch gesehen.
Danke für den Tipp bzgl. der Any-Regel.
Hast Du nen Tipp bzgl. des eigentlichen Themas?
Vielen Dank.
habe das Thema auch gesehen.
Danke für den Tipp bzgl. der Any-Regel.
Hast Du nen Tipp bzgl. des eigentlichen Themas?
Vielen Dank.
Zitat von @Knorkator:
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?
Ich hab da noch etwas..
Angenommen, ich hab 20 Vlans in meinem Netz.
Ich richte nun ein weiteres ein (Vlan666), welches nur von einem der 20 anderen Vlans erreichbar sein darf.
Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?
Ich gebe Dir ja recht, dass das Paket so früh wie möglich gestoppt werden soll, als eine ACL pro Vlan, aber der Konfigurationsaufwand ist ja doch recht hoch dabei.
Demnach wäre eine "von außerhalb nach VLAN666) ACL schon sinnvoll.
Das ist ja quasi auch eine "eingehende" Regel.
Vielen Dank im voraus für die Mühe, dieses Thema das 100. mal erklären zu müssen.
Aber trotz der anderen Beiträge bin ich unsicher, ob ich nicht etwas übersehe.
Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?
Es geht auch einfacher....Es ist dann sinnvoller an diesem VLAN Interface eine PERMIT Regel in des Ziel VLAN einzurichten, danach alles anderen VLANs zu deny"en".
Wenn du einen intelligente VLAN Adressierung hast, das z.B. alles VLANs im 172.20.x.y Bereich liegen ist das ein 3 Zeiler:
PERMIT ip 172.20.66.0 0.0.0.255 172.20.3.0 0.0.0.255
DENY ip 172.20.66.0 0.0.0.255 172.20.0.0 0.0.255.255
(PERMIT ip 172.20.66.0 0.0.0.255 any )
Letzte Zeile nur wenn du auch Internet Zugang erlauben willst.
Aber du kannst das auch mit einer Outbound Regel erschlagen. Vergiss aber nicht das die immer CPU switched arbeiten. Die skalieren also nicht so wie Inbound Regeln.
Ok, Danke für die Hilfestellung.
Muss ich erstmal sacken lassen..
Bzgl. intelligenter Vlan Adressierung:
Ich bin grundsätzlich noch völlig frei in der Gestaltung.
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.
Ich melde mich wieder wenn ich Zeit dafür finde!
Vielen Dank!
Muss ich erstmal sacken lassen..
Bzgl. intelligenter Vlan Adressierung:
Ich bin grundsätzlich noch völlig frei in der Gestaltung.
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.
Ich melde mich wieder wenn ich Zeit dafür finde!
Vielen Dank!
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.
Dann ist das ja eine intelligente Adressierung. Du hast ja dann keine wild durcherinandergehende Adressierung sondern alles in diesem Bereich. 
Dann sähe das so aus wenn VLAN 66 aufs VLAN 3 darf (jetzt mal 24er Prefixe angenommen und das 3te Byte entspricht der VLAN ID)):
PERMIT ip 10.101.66.0 0.0.0.255 10.101.3.0 0.0.0.255
DENY ip 10.101.66.0 0.0.0.255 10.101.0.0 0.0.255.255
(PERMIT ip 10.101.66.0 0.0.0.255 any <== Wenn Internet erlaubt ist)
