ralpht
Goto Top

Grundsätzliche Frage zu ACLs im HP-Switch

Hallo,

ich habe mal eine Frage zu den ACLs im HP-Switch.

Ich habe hier zwei VLANs mit folgenden Daten:

IP-Bereich VLAN 100: 192.168.100.0/24
IP-Bereich VLAN 200: 192.168.200.0/24

Ich möchte, dass das VLAN 200 keinen Zugriff auf das VLAN 100 hat. Weitere VLANs, sofern vorhanden, dürfen jedoch auf das VLAN 100 zugreifen.
Dazu habe ich folgende Basic-ACL im Switch angelegt:

acl number 2001

rule 5 deny source 192.168.200.0 0.0.0.255
rule 10 permit any

Diese ACL habe ich dem VLAN 200 Interface als INBOUND zugeordnet.

Das funktioniert nicht. Derzeit ist der Zugriff möglich.
Ich schätze mal, dass ich das Prinzip wohl falsch verstanden habe.

Ich bin (jetzt noch) der Meinung, dass die Regeln von oben nach unten abgearbeitet werden.
Also zuerst Regel 5. Diese sollte hier aber ziehen. Weitere Regeln werden dann nicht mehr abgearbeitet.

Wo habe ich meinen Denkfehler?

Content-ID: 390616

Url: https://administrator.de/forum/grundsaetzliche-frage-zu-acls-im-hp-switch-390616.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

SlainteMhath
SlainteMhath 25.10.2018 um 10:35:32 Uhr
Goto Top
Moin,

die ACL muss mEn nach an das VLAN 100 ran, nicht ans VLAN 200.

lg,
Slainte
RalphT
RalphT 25.10.2018 um 10:40:24 Uhr
Goto Top
Ach, da ist mir ein Schreibfehler unterlaufen.

Den habe ich natürlich an das Interface vom VLAN 100 gebunden.
sabines
sabines 25.10.2018 um 11:20:37 Uhr
Goto Top
Moin,

kann sein, dass ich mich irre, muss das nicht anders rum heissen:

rule 1 permit any
rule 5 deny source 192.168.200.0 0.0.0.255

Gruss
RalphT
RalphT 25.10.2018 um 11:28:55 Uhr
Goto Top
In dieser Richtung hatte ich schon probiert. Nein, leider wars das nicht.

Ich habe auch mal testweise die Regel mit "permit source any" weggelassen. Aber das brachte es auch noch nicht.
Derzeit probiere ich noch weitere Varianten aus.
RalphT
RalphT 25.10.2018 um 14:38:51 Uhr
Goto Top
So, jetzt habe ich zumindest eine Lösung:

Ich habe die beiden Standard ACLs gelöscht und dafür zwei ACLS vom Typ "extended" erstellt.

ACL-1:
rule 5 deny ip source 192.168.100.0 0.0.0.255 destination 192.168.200.0 0.0.0.255
rule 10 permit ip any

ACL-2:
rule 5 deny ip source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit ip any

ACL-1 ans Interface VLAN 100 gebunden und die andere ans VLAN 200. Fertig.
aqui
Lösung aqui 26.10.2018 aktualisiert um 11:31:39 Uhr
Goto Top
Das funktioniert nicht.
Kein Wunder, denn es fehlt ja die Destination. Mit der Banalregel würde alles geblockt was diese Source IP hat. In sofern ist die Regel Unsinn.
Kommt man eigentlich auch leicht von selber drauf wenn man sich mal den IP Paket Fluss vor Augen führt face-wink
Logisch richtig müsste sein:
acl number 2001
!
rule 5 deny source 192.168.200.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
rule 10 permit source 192.168.200.0 0.0.0.255 any

Das würde Sinn ergeben.
Die ACL 1 ist überflüssig ! Logisch, denn auch wenn .100.0er Clients auf ein Enderät im .200.0 er Netz zugreifen bleiben deren Antwortpakete an der o.a. ACL ebenso hängen.
Sie macht nur dann Sinn wenn man auch keinerlei IP Pakete von .100.x in .200.x sehen will.

Wenn's das denn war
Wie kann ich einen Beitrag als gelöst markieren?