HP Aruba 2920 ACCESS-LIST erstellen?
Hallo zusammen,
ich hoffe ich könnt mir helfen, ich habe einen HP 2920 Switch, dort möchte ich einfach eine Regel erstellen, funktioniert auch alles, zum Beispiel (gebe direkt mal hier die Befehle an)
Erstellen einer ACL:
ip access-list Standard test
dann flogt eine deny Regel:
deny 192.168.10.10 255.255.255.0
so dann kann ich mir die Regel nochmal anschauen mit:
ip access-list test
alles wunderbar,
jetzt möchte ich sie auf ein erstelltes VLAN anwende, z.B. Vlan 2 da gehe ich wie folgt vor:
vlan 2 ip acces-group test..... wenn ich dort zur hilfe die TAB- Taste drücke, gibt mir der Switch nur den Befehl mit "VLAN-IN" an, ich brauch aber den "OUT" Befehl, der Switch kennt diesen Befehl einfach nicht, habe schon Dr. Google gefragt dort wird Sinngemäß immer nur gesagt, ja wenn nicht "IN" sondern es soll ausgehend sein dann nimmt man einfach den Befehl mit "OUT".
Leider kennt dieser Switch in der Richtung gar nichts, habe auch schon die neuste Firmware installiert.
Ich hoffe es reicht als Info aus.
ich hoffe ich könnt mir helfen, ich habe einen HP 2920 Switch, dort möchte ich einfach eine Regel erstellen, funktioniert auch alles, zum Beispiel (gebe direkt mal hier die Befehle an)
Erstellen einer ACL:
ip access-list Standard test
dann flogt eine deny Regel:
deny 192.168.10.10 255.255.255.0
so dann kann ich mir die Regel nochmal anschauen mit:
ip access-list test
alles wunderbar,
jetzt möchte ich sie auf ein erstelltes VLAN anwende, z.B. Vlan 2 da gehe ich wie folgt vor:
vlan 2 ip acces-group test..... wenn ich dort zur hilfe die TAB- Taste drücke, gibt mir der Switch nur den Befehl mit "VLAN-IN" an, ich brauch aber den "OUT" Befehl, der Switch kennt diesen Befehl einfach nicht, habe schon Dr. Google gefragt dort wird Sinngemäß immer nur gesagt, ja wenn nicht "IN" sondern es soll ausgehend sein dann nimmt man einfach den Befehl mit "OUT".
Leider kennt dieser Switch in der Richtung gar nichts, habe auch schon die neuste Firmware installiert.
Ich hoffe es reicht als Info aus.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325554
Url: https://administrator.de/contentid/325554
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
8 Kommentare
Neuester Kommentar
Die gruseligen HP Switches können nur inbound ACLs wie es bei Billigswitches dieser Kategorie in der Regel auch üblich ist.
Du musst also das Interface suchen wo diese Pakete in den Switch reinkommen und dort eben eine Inbound ACL implementieren.
Abgesehen davon macht das auch mehr Sinn. Outbound ACLs sind ja mehr als kontraproduktiv, denn man will ja normalerweise diese Pakete gar nicht erst in dem Switch haben und seine Forwarding Engine damit belasten.
Insofern sind also inbound ACL so oder so immer anzustreben.
Sollte bei dir ja kein Thema sein die Logik entsprechend umzukonfigurieren.
Du musst also das Interface suchen wo diese Pakete in den Switch reinkommen und dort eben eine Inbound ACL implementieren.
Abgesehen davon macht das auch mehr Sinn. Outbound ACLs sind ja mehr als kontraproduktiv, denn man will ja normalerweise diese Pakete gar nicht erst in dem Switch haben und seine Forwarding Engine damit belasten.
Insofern sind also inbound ACL so oder so immer anzustreben.
Sollte bei dir ja kein Thema sein die Logik entsprechend umzukonfigurieren.
aber intern dürfen die beiden Vlan`s schon miteinander kommunizieren.
Was du damit meinst ist mir schleierhaft aber ich versuch dir mal eine mögliche extended ACL aufzuzeigen.VLAN 1 - IN:
deny ip source=vlan1 destination=vlan2
allow ip source=any destination=any
VLAN 2 - IN:
deny ip source=vlan2 destination=vlan1
allow ip source=any destination=any
Damit blockierst du den Zugriff zwischen beiden VLANs untereinander. Hat der 2920er zwei L3 Interfaces für die VLANs?
PS: Der HP Switch ist im Vergleich zu D-Link und Netgear seit der Aruba Firmware in Ordnung.
Ich hätte an deiner Stelle trotzdem zum Brocade ICX-7150 oder ICX-7250 gegriffen.
VG
Val
Kleine kosmetische Korrektur:
VLAN 1 - IN:
deny ip source=vlan1 destination=vlan2
allow ip source=vlan1 destination=any
VLAN 2 - IN:
deny ip source=vlan2 destination=vlan1
allow ip source=vlan2 destination=any
Das würde mehr Sinn machen da ja in den jeweiligen VLAN Segmenten keine anderen (any) IPs vorkommen oder vorkommen sollten.
Und wenn doch, dann will man auch nicht das diese dann irgendwo ins lokale Netz kommen !!
VLAN 1 - IN:
deny ip source=vlan1 destination=vlan2
allow ip source=vlan1 destination=any
VLAN 2 - IN:
deny ip source=vlan2 destination=vlan1
allow ip source=vlan2 destination=any
Das würde mehr Sinn machen da ja in den jeweiligen VLAN Segmenten keine anderen (any) IPs vorkommen oder vorkommen sollten.
Und wenn doch, dann will man auch nicht das diese dann irgendwo ins lokale Netz kommen !!
aber hatte noch Hoffnung
Die sollte man sich geflissentlich abschminken wenn man sich bewusst für HP Gruselswitches entscheidet. Heul also nicht !
Würde das durch das impliziete "deny ip any any" am Ende nicht auch jeglichen eingehenden Traffic in das VLAN wie z.B. Broadcast Traffic filtern?
DHCP Relay Konfigurationen sollten dann doch nicht mehr funktionieren.
VG
Val
DHCP Relay Konfigurationen sollten dann doch nicht mehr funktionieren.
VG
Val
Nein nicht ganz !
Es gilt ja immer first macht wins... Bei dir kommt also auch ein Client durch die ACL der als Absender alles mögliche hat und ins Zielnetz Internet (any) will.
Erst dann kommt ja da explizite Default deny any any.
Zugegeben ist das selten oder unwahrscheinlich das ein Client vlan1 oder 2 dann vlan-fremde IPs hat aber so wie oben ist die ACL eben wasserdichter.
DHCP Relay hat mit ACLs nichts zu tun, denn die werden immer vor der ACL ausgeführt vom Switch OS.
Bei Firewalls mag das allerdings ggf. anders sein, da die strikter sind. Bei Routern und L3 Switches aber nicht.
Es gilt ja immer first macht wins... Bei dir kommt also auch ein Client durch die ACL der als Absender alles mögliche hat und ins Zielnetz Internet (any) will.
Erst dann kommt ja da explizite Default deny any any.
Zugegeben ist das selten oder unwahrscheinlich das ein Client vlan1 oder 2 dann vlan-fremde IPs hat aber so wie oben ist die ACL eben wasserdichter.
DHCP Relay hat mit ACLs nichts zu tun, denn die werden immer vor der ACL ausgeführt vom Switch OS.
Bei Firewalls mag das allerdings ggf. anders sein, da die strikter sind. Bei Routern und L3 Switches aber nicht.
OK danke für die Aufklärung