6
Grundsätzliche Frage zu ACLs im HP-Switch
Hallo,
ich habe mal eine Frage zu den ACLs im HP-Switch.
Ich habe hier zwei VLANs mit folgenden Daten:
IP-Bereich VLAN 100: 192.168.100.0/24
IP-Bereich VLAN 200: 192.168.200.0/24
Ich möchte, dass das VLAN 200 keinen Zugriff auf das VLAN 100 hat. Weitere VLANs, sofern vorhanden, dürfen jedoch auf das VLAN 100 zugreifen.
Dazu habe ich folgende Basic-ACL im Switch angelegt:
acl number 2001
rule 5 deny source 192.168.200.0 0.0.0.255
rule 10 permit any
Diese ACL habe ich dem VLAN 200 Interface als INBOUND zugeordnet.
Das funktioniert nicht. Derzeit ist der Zugriff möglich.
Ich schätze mal, dass ich das Prinzip wohl falsch verstanden habe.
Ich bin (jetzt noch) der Meinung, dass die Regeln von oben nach unten abgearbeitet werden.
Also zuerst Regel 5. Diese sollte hier aber ziehen. Weitere Regeln werden dann nicht mehr abgearbeitet.
Wo habe ich meinen Denkfehler?
ich habe mal eine Frage zu den ACLs im HP-Switch.
Ich habe hier zwei VLANs mit folgenden Daten:
IP-Bereich VLAN 100: 192.168.100.0/24
IP-Bereich VLAN 200: 192.168.200.0/24
Ich möchte, dass das VLAN 200 keinen Zugriff auf das VLAN 100 hat. Weitere VLANs, sofern vorhanden, dürfen jedoch auf das VLAN 100 zugreifen.
Dazu habe ich folgende Basic-ACL im Switch angelegt:
acl number 2001
rule 5 deny source 192.168.200.0 0.0.0.255
rule 10 permit any
Diese ACL habe ich dem VLAN 200 Interface als INBOUND zugeordnet.
Das funktioniert nicht. Derzeit ist der Zugriff möglich.
Ich schätze mal, dass ich das Prinzip wohl falsch verstanden habe.
Ich bin (jetzt noch) der Meinung, dass die Regeln von oben nach unten abgearbeitet werden.
Also zuerst Regel 5. Diese sollte hier aber ziehen. Weitere Regeln werden dann nicht mehr abgearbeitet.
Wo habe ich meinen Denkfehler?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390616
Url: https://administrator.de/contentid/390616
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
die ACL muss mEn nach an das VLAN 100 ran, nicht ans VLAN 200.
lg,
Slainte
die ACL muss mEn nach an das VLAN 100 ran, nicht ans VLAN 200.
lg,
Slainte
Ach, da ist mir ein Schreibfehler unterlaufen.
Den habe ich natürlich an das Interface vom VLAN 100 gebunden.
Den habe ich natürlich an das Interface vom VLAN 100 gebunden.
Moin,
kann sein, dass ich mich irre, muss das nicht anders rum heissen:
rule 1 permit any
rule 5 deny source 192.168.200.0 0.0.0.255
Gruss
kann sein, dass ich mich irre, muss das nicht anders rum heissen:
rule 1 permit any
rule 5 deny source 192.168.200.0 0.0.0.255
Gruss
In dieser Richtung hatte ich schon probiert. Nein, leider wars das nicht.
Ich habe auch mal testweise die Regel mit "permit source any" weggelassen. Aber das brachte es auch noch nicht.
Derzeit probiere ich noch weitere Varianten aus.
Ich habe auch mal testweise die Regel mit "permit source any" weggelassen. Aber das brachte es auch noch nicht.
Derzeit probiere ich noch weitere Varianten aus.
So, jetzt habe ich zumindest eine Lösung:
Ich habe die beiden Standard ACLs gelöscht und dafür zwei ACLS vom Typ "extended" erstellt.
ACL-1:
rule 5 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
rule 10 permit ip any
ACL-2:
rule 5 deny ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit ip any
ACL-1 ans Interface VLAN 100 gebunden und die andere ans VLAN 200. Fertig.
Ich habe die beiden Standard ACLs gelöscht und dafür zwei ACLS vom Typ "extended" erstellt.
ACL-1:
rule 5 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
rule 10 permit ip any
ACL-2:
rule 5 deny ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit ip any
ACL-1 ans Interface VLAN 100 gebunden und die andere ans VLAN 200. Fertig.
Das funktioniert nicht.
Kein Wunder, denn es fehlt ja die Destination. Mit der Banalregel würde alles geblockt was diese Source IP hat. In sofern ist die Regel Unsinn.Kommt man eigentlich auch leicht von selber drauf wenn man sich mal den IP Paket Fluss vor Augen führt
Logisch richtig müsste sein:
acl number 2001
!
rule 5 deny source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit source 192.168.200.0 0.0.0.255 any
Das würde Sinn ergeben.
Die ACL 1 ist überflüssig ! Logisch, denn auch wenn .100.0er Clients auf ein Enderät im .200.0 er Netz zugreifen bleiben deren Antwortpakete an der o.a. ACL ebenso hängen.
Sie macht nur dann Sinn wenn man auch keinerlei IP Pakete von .100.x in .200.x sehen will.
Wenn's das denn war
Wie kann ich einen Beitrag als gelöst markieren?
