henning32
Goto Top

HP Aruba 2920 ACCESS-LIST erstellen?

Hallo zusammen,

ich hoffe ich könnt mir helfen, ich habe einen HP 2920 Switch, dort möchte ich einfach eine Regel erstellen, funktioniert auch alles, zum Beispiel (gebe direkt mal hier die Befehle an)


Erstellen einer ACL:

ip access-list Standard test

dann flogt eine deny Regel:

deny 192.168.10.10 255.255.255.0

so dann kann ich mir die Regel nochmal anschauen mit:

ip access-list test

alles wunderbar,

jetzt möchte ich sie auf ein erstelltes VLAN anwende, z.B. Vlan 2 da gehe ich wie folgt vor:

vlan 2 ip acces-group test..... wenn ich dort zur hilfe die TAB- Taste drücke, gibt mir der Switch nur den Befehl mit "VLAN-IN" an, ich brauch aber den "OUT" Befehl, der Switch kennt diesen Befehl einfach nicht, habe schon Dr. Google gefragt dort wird Sinngemäß immer nur gesagt, ja wenn nicht "IN" sondern es soll ausgehend sein dann nimmt man einfach den Befehl mit "OUT".

Leider kennt dieser Switch in der Richtung gar nichts, habe auch schon die neuste Firmware installiert.

Ich hoffe es reicht als Info aus.

Content-ID: 325554

Url: https://administrator.de/forum/hp-aruba-2920-access-list-erstellen-325554.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 05.01.2017 aktualisiert um 12:11:31 Uhr
Goto Top
Die gruseligen HP Switches können nur inbound ACLs wie es bei Billigswitches dieser Kategorie in der Regel auch üblich ist.
Du musst also das Interface suchen wo diese Pakete in den Switch reinkommen und dort eben eine Inbound ACL implementieren.
Abgesehen davon macht das auch mehr Sinn. Outbound ACLs sind ja mehr als kontraproduktiv, denn man will ja normalerweise diese Pakete gar nicht erst in dem Switch haben und seine Forwarding Engine damit belasten.
Insofern sind also inbound ACL so oder so immer anzustreben.
Sollte bei dir ja kein Thema sein die Logik entsprechend umzukonfigurieren.
Henning32
Henning32 05.01.2017 um 12:59:05 Uhr
Goto Top
Vielen Dank für die schnelle Antwort,

so was habe ich mir schon fast gedacht aber hatte noch Hoffnung face-smile),
Henning32
Henning32 05.01.2017 um 13:30:01 Uhr
Goto Top
Ich Schildere mal mein Problem.

Also ich habe diesen besagten billig- Switch.....

Habe dort ein Vlan 1 mit 192.168.10.1 und Vlan 2 mit 192.128.10.1 (IP-Adressen sind ausgedacht). Diese beiden Adressen dürfen sich untereinander keine Daten von außen austauschen, Intern aber schon.
Also kommt was von außen was für das Vlan 2 bestimmt ist, dürfen die Pakete nicht nach Vlan 1, aber intern dürfen die beiden Vlan`s schon miteinander kommunizieren.

Gott ich weiß ich bin echt schlecht beim Erläutern aber ich hoffe ich habe es einigermaßen erklärt.
119944
119944 05.01.2017 aktualisiert um 13:42:15 Uhr
Goto Top
aber intern dürfen die beiden Vlan`s schon miteinander kommunizieren.
Was du damit meinst ist mir schleierhaft aber ich versuch dir mal eine mögliche extended ACL aufzuzeigen.

VLAN 1 - IN:
deny ip source=vlan1 destination=vlan2
allow ip source=any destination=any

VLAN 2 - IN:
deny ip source=vlan2 destination=vlan1
allow ip source=any destination=any

Damit blockierst du den Zugriff zwischen beiden VLANs untereinander. Hat der 2920er zwei L3 Interfaces für die VLANs?

PS: Der HP Switch ist im Vergleich zu D-Link und Netgear seit der Aruba Firmware in Ordnung.
Ich hätte an deiner Stelle trotzdem zum Brocade ICX-7150 oder ICX-7250 gegriffen.

VG
Val
aqui
aqui 05.01.2017 aktualisiert um 14:06:06 Uhr
Goto Top
Kleine kosmetische Korrektur:

VLAN 1 - IN:
deny ip source=vlan1 destination=vlan2
allow ip source=vlan1 destination=any

VLAN 2 - IN:
deny ip source=vlan2 destination=vlan1
allow ip source=vlan2 destination=any

Das würde mehr Sinn machen da ja in den jeweiligen VLAN Segmenten keine anderen (any) IPs vorkommen oder vorkommen sollten.
Und wenn doch, dann will man auch nicht das diese dann irgendwo ins lokale Netz kommen !!
aber hatte noch Hoffnung
Die sollte man sich geflissentlich abschminken wenn man sich bewusst für HP Gruselswitches entscheidet. Heul also nicht ! face-wink
119944
119944 05.01.2017 aktualisiert um 15:43:10 Uhr
Goto Top
Würde das durch das impliziete "deny ip any any" am Ende nicht auch jeglichen eingehenden Traffic in das VLAN wie z.B. Broadcast Traffic filtern?
DHCP Relay Konfigurationen sollten dann doch nicht mehr funktionieren.

VG
Val
aqui
aqui 05.01.2017 um 16:25:46 Uhr
Goto Top
Nein nicht ganz !
Es gilt ja immer first macht wins... Bei dir kommt also auch ein Client durch die ACL der als Absender alles mögliche hat und ins Zielnetz Internet (any) will.
Erst dann kommt ja da explizite Default deny any any.
Zugegeben ist das selten oder unwahrscheinlich das ein Client vlan1 oder 2 dann vlan-fremde IPs hat aber so wie oben ist die ACL eben wasserdichter.
DHCP Relay hat mit ACLs nichts zu tun, denn die werden immer vor der ACL ausgeführt vom Switch OS.
Bei Firewalls mag das allerdings ggf. anders sein, da die strikter sind. Bei Routern und L3 Switches aber nicht.
119944
119944 05.01.2017 um 18:20:12 Uhr
Goto Top
OK danke für die Aufklärung face-smile