Cisco SG550: ACL blockiert trotz "Permit Any"
Hallo zusammen,
ich habe hier ein (aus meiner Sicht) kurioses Phänomen, das mir Kopfzerbrechen bereitet...
Switch ist ein SG550X-48 mit ein paar wenigen ACLs für noch weniger VLANs.
Folgendes Ausgangsszenario:
- VLAN 20 darf NICHT mit VLAN 100 kommunizieren, bis auf eine Ausnahme (192.168.100.11)
- daher gibt es drei Regeln, die in etwa so aussehen:
"permit 192.168.20.0 -> 192.168.100.11"
"deny 192.168.20.0 -> 192.168.100.0"
"permit 192.168.20.0 -> any"
Das funktionierte bisher auch alles wunderbar ohne irgendwelche Probleme. Jetzt ist es notwendig geworden, dass ich den Zugriff aus VLAN 100 in VLAN 80 einschränken muss. Daher habe ich ein paar Regeln erstellt, diese dem VLAN 100 zugewiesen und plötzlich habe ich aus VLAN 20 keinen Zugriff mehr auf VLAN 100 - obwohl die neuen Regeln rein gar nichts mit VLAN 20 zu tun haben...
Ich habe diverse Variationen ausprobiert. Ich habe sogar schon alle Regeln gelöscht und nur eine "permit any -> any" stehen lassen. Sobald ich irgendeine ACL dem VLAN 100 zuweise, wird der Datenverkehr von VLAN 20 zu VLAN 100 blockiert.
Wie kann das sein? Übersehe ich hier irgendetwas?
Danke im Voraus für eure Ratschläge!
ich habe hier ein (aus meiner Sicht) kurioses Phänomen, das mir Kopfzerbrechen bereitet...
Switch ist ein SG550X-48 mit ein paar wenigen ACLs für noch weniger VLANs.
Folgendes Ausgangsszenario:
- VLAN 20 darf NICHT mit VLAN 100 kommunizieren, bis auf eine Ausnahme (192.168.100.11)
- daher gibt es drei Regeln, die in etwa so aussehen:
"permit 192.168.20.0 -> 192.168.100.11"
"deny 192.168.20.0 -> 192.168.100.0"
"permit 192.168.20.0 -> any"
Das funktionierte bisher auch alles wunderbar ohne irgendwelche Probleme. Jetzt ist es notwendig geworden, dass ich den Zugriff aus VLAN 100 in VLAN 80 einschränken muss. Daher habe ich ein paar Regeln erstellt, diese dem VLAN 100 zugewiesen und plötzlich habe ich aus VLAN 20 keinen Zugriff mehr auf VLAN 100 - obwohl die neuen Regeln rein gar nichts mit VLAN 20 zu tun haben...
Ich habe diverse Variationen ausprobiert. Ich habe sogar schon alle Regeln gelöscht und nur eine "permit any -> any" stehen lassen. Sobald ich irgendeine ACL dem VLAN 100 zuweise, wird der Datenverkehr von VLAN 20 zu VLAN 100 blockiert.
Wie kann das sein? Übersehe ich hier irgendetwas?
Danke im Voraus für eure Ratschläge!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 642056
Url: https://administrator.de/forum/cisco-sg550-acl-blockiert-trotz-permit-any-642056.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
19 Kommentare
Neuester Kommentar
Und trotzdem wird der Traffic von VLAN 20 zu VLAN 100 blockiert.
Das ist ja auch gewollt wenn du am VLAN 20 "deny 192.168.20.0 -> 192.168.100.0" sagst ! Sämtlicher Traffic (und das inkludiert auch Rücktraffic !) von VLAN 100 Hostadressen, außer .11, bleiben an dieser Regel hängen.Aus VLAN 100 kann also einzig nur der Host .100.11 ins 20er VLAN, alles andere ist ja durch die ACL am VLAN 20 blockiert.
Sieht im ersten Moment wie ein Routing-Problem aus.
Kann es sein das du schlicht und einfach die Switch IP Adresse vergessen hast zu konfigurieren im VLAN 100 ??!Wie gesagt ein show run der aktuellen Switch Konfig in Code Tags hier wäre hilfreich für alle Beteiligten um nicht immer raten und ins Blaue schiessen zu müssen.
Es könnte auch sein dass du in deiner ACL einen Fehler hast
Dein permit würde nicht greifen und dadurch greift das implezierte deny any any das am Schluss der ACL steht automatisch
aber wie @aqui schon sagte ohne Auszug deiner running config ist dass alles raten im Nebel
Dein permit würde nicht greifen und dadurch greift das implezierte deny any any das am Schluss der ACL steht automatisch
aber wie @aqui schon sagte ohne Auszug deiner running config ist dass alles raten im Nebel
Soweit ist das OK.
Gut, die VLAN 100 Regel ist etwas unsinnig wenn die Default Action eh permit-any ist, dann könnte man das "Scheunentor" Regelwerk an VLAN 100 auch komplett entfernen. Das wäre nochmal einen Test wert.
Die betreffenden Endgeräte haben auch wirklich als Default Gateways jeweils die .20.1 und die .100.1 definiert ?
Ansonsten hast du wohl wirklich einen Bug gefunden.
Interessant wäre dann nochmal mit dem Wireshark rauszufinden WO genau die Pakete hängenbleiben. An VLAN 20 oder VLAN 100.
Gut, die VLAN 100 Regel ist etwas unsinnig wenn die Default Action eh permit-any ist, dann könnte man das "Scheunentor" Regelwerk an VLAN 100 auch komplett entfernen. Das wäre nochmal einen Test wert.
Die betreffenden Endgeräte haben auch wirklich als Default Gateways jeweils die .20.1 und die .100.1 definiert ?
Ansonsten hast du wohl wirklich einen Bug gefunden.
Interessant wäre dann nochmal mit dem Wireshark rauszufinden WO genau die Pakete hängenbleiben. An VLAN 20 oder VLAN 100.