Grundsätzliche Frage zu ACLs im HP-Switch
Hallo,
ich habe mal eine Frage zu den ACLs im HP-Switch.
Ich habe hier zwei VLANs mit folgenden Daten:
IP-Bereich VLAN 100: 192.168.100.0/24
IP-Bereich VLAN 200: 192.168.200.0/24
Ich möchte, dass das VLAN 200 keinen Zugriff auf das VLAN 100 hat. Weitere VLANs, sofern vorhanden, dürfen jedoch auf das VLAN 100 zugreifen.
Dazu habe ich folgende Basic-ACL im Switch angelegt:
acl number 2001
rule 5 deny source 192.168.200.0 0.0.0.255
rule 10 permit any
Diese ACL habe ich dem VLAN 200 Interface als INBOUND zugeordnet.
Das funktioniert nicht. Derzeit ist der Zugriff möglich.
Ich schätze mal, dass ich das Prinzip wohl falsch verstanden habe.
Ich bin (jetzt noch) der Meinung, dass die Regeln von oben nach unten abgearbeitet werden.
Also zuerst Regel 5. Diese sollte hier aber ziehen. Weitere Regeln werden dann nicht mehr abgearbeitet.
Wo habe ich meinen Denkfehler?
ich habe mal eine Frage zu den ACLs im HP-Switch.
Ich habe hier zwei VLANs mit folgenden Daten:
IP-Bereich VLAN 100: 192.168.100.0/24
IP-Bereich VLAN 200: 192.168.200.0/24
Ich möchte, dass das VLAN 200 keinen Zugriff auf das VLAN 100 hat. Weitere VLANs, sofern vorhanden, dürfen jedoch auf das VLAN 100 zugreifen.
Dazu habe ich folgende Basic-ACL im Switch angelegt:
acl number 2001
rule 5 deny source 192.168.200.0 0.0.0.255
rule 10 permit any
Diese ACL habe ich dem VLAN 200 Interface als INBOUND zugeordnet.
Das funktioniert nicht. Derzeit ist der Zugriff möglich.
Ich schätze mal, dass ich das Prinzip wohl falsch verstanden habe.
Ich bin (jetzt noch) der Meinung, dass die Regeln von oben nach unten abgearbeitet werden.
Also zuerst Regel 5. Diese sollte hier aber ziehen. Weitere Regeln werden dann nicht mehr abgearbeitet.
Wo habe ich meinen Denkfehler?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390616
Url: https://administrator.de/forum/grundsaetzliche-frage-zu-acls-im-hp-switch-390616.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
6 Kommentare
Neuester Kommentar
Das funktioniert nicht.
Kein Wunder, denn es fehlt ja die Destination. Mit der Banalregel würde alles geblockt was diese Source IP hat. In sofern ist die Regel Unsinn.Kommt man eigentlich auch leicht von selber drauf wenn man sich mal den IP Paket Fluss vor Augen führt
Logisch richtig müsste sein:
acl number 2001
!
rule 5 deny source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit source 192.168.200.0 0.0.0.255 any
Das würde Sinn ergeben.
Die ACL 1 ist überflüssig ! Logisch, denn auch wenn .100.0er Clients auf ein Enderät im .200.0 er Netz zugreifen bleiben deren Antwortpakete an der o.a. ACL ebenso hängen.
Sie macht nur dann Sinn wenn man auch keinerlei IP Pakete von .100.x in .200.x sehen will.
Wenn's das denn war
Wie kann ich einen Beitrag als gelöst markieren?