12.08.2021

5739

HP Aruba Switch - Trennen von VLANs mit ACL

Hallo

Ich soll auf einem HP Switch der Serie 5400R Interfaces so abtrennen, das diese ein Logisch ein eigens Switch bilden.

Zu diesem Zweck habe ich VLAN's eingerichtet (Vlan1, 2, 3),
jetzt soll aus Vlan 3 keinerlei Verbindung zu Vlan 1 und 2 möglich sein.
Vlan 1 und 2 sollen aber Verbindung haben (Verwaltung Backup Switch).
Da "ip routing" aktive ist könnte ich über all hin.

Das ist das was ich bis jetzt habe.

time daylight-time-rule western-europe
time timezone 60
ip route 0.0.0.0 0.0.0.0 172.20.21.10
ip route 100.200.1.0 255.255.255.240 172.20.21.10
ip route 100.200.1.4 255.255.255.255 172.20.21.10
ip routing

vlan 1
   name "VLAN1"  
   no untagged C19-C23
   untagged A1-A24,B1-B24,C1-C18
   ip address 172.20.21.1 255.255.254.0
   no ipv6 address
   exit

vlan 2
   name "Transit-SW-SW"  
   untagged C24
   ip address 172.18.48.1 255.255.255.252
   no ipv6 address
   exit

vlan 3
   name "VLAN3"  
   untagged C19-C23
   no ip address
   no ipv6 address
   exit

no spanning-tree bpdu-throttle
no tftp server
no autorun
no dhcp config-file-update
no dhcp image-file-update

Jetzt war meine überlegung:

access-list 101 deny VLAN3 any

vlan 3
   access-group 101 in
   access-group 101 out

Aber so ganz will das nicht.

Wäre schön wenn mir einer erklären könnte, wie ich es richtig mache.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 1148094080

Url: https://administrator.de/contentid/1148094080

Ausgedruckt am: 25.11.2024 um 01:11 Uhr

6 Kommentare

Neuester Kommentar

Moin, die Fehlerbeschreibung

Aber so ganz will das nicht.

ist jetzt nicht sooo aussagekräftig. Hier https://www.arubanetworks.com/techdocs/AOS-CX/10.04/HTML/5200-6701/index ... gibts eine exemplarisch VLAN-Config...
#sh vlan?
/pp

Soll Vlan 3 ins Internet ?
Wenn ja ist die o.a. Regel wenig intelligent.
Bedenke das Regeln immer nur inbound gelten also VOM Draht ins IP VLAN Interface hinein und es gilt: First match wins. Also der erste positive Hit im Regelwerk bewirkt das der Rest des Regelwerkes nicht mehr ausgeführt wird.

Folglich wäre die vlan 3 Regel:
access list 101
deny ip source vlan 3 destination vlan 1
deny ip source vlan 3 destination vlan 2
permit ip source vlan 3 destination any
!
interface vlan 3
access-group 101 in

Logischerweise nur in kein out.
So wird ein ACL Schuh draus !

Zitat von @aqui:
Soll Vlan 3 ins Internet ?

eigentlich nur 4 Server aus dem Vlan1

access list 101
deny ip source vlan 3 destination vlan 1
deny ip source vlan 3 destination vlan 2
permit ip source vlan 3 destination any
!
interface vlan 3
access-group 101 in

also müsste ich dann:

 access list 101 
   deny ip any 172.20.21.0 255.255.254.0
   deny ip any 172.18.48.0 255.255.255.252
   permit ip any any
 !
 interface vlan 3
   access-group 101 in

das Problem ist das hinter Vlan 3 kein Definierter IP-Bereich ist, darum any.

Und damit keiner aus Vlan 1-2 in Vlan 3 kann.

 access list 100 
   deny ip 172.20.21.0 255.255.254.0 any
   deny ip 172.18.48.0 255.255.255.252 any
   permit ip any any
 !
 interface vlan 1
   access-group 100 in
 !
 interface vlan 2
   access-group 100 in

Aber dann würde ja man nicht mehr zu Firewall kommen, die sich hinter 172.20.21.10 versteckt.

Wenn ich jetzt so drüber nachdenke, wäre ein dummer Switch einfache als das einzurichten, aber leider ist das nicht gewollt.

Danke schonmal, werde es so mal testen.

Hallo,

ip route 0.0.0.0 0.0.0.0 172.20.21.10
ip route 100.200.1.0 255.255.255.240 172.20.21.10
ip route 100.200.1.4 255.255.255.255 172.20.21.10

unabhängig deiner Frage: Die 2 extra Routen sind unnötig, da diese bereits über die Default-Route abgehandelt werden.

vlan 3
name "VLAN3"
untagged C19-C23
no ip address
no ipv6 address
exit

Du hast auf dem VLAN3 sowohl IPv4 als auch die IPv6 deaktiviert. Damit arbeitet der Switch hier rein im Layer2.
Eine IP-ACL hat daher überhaupt keinen Einfluss. Gibt's da noch ein anderen Router fürs VLAN3? Den wer auch immer vom deinem VLAN3 in die anderen VLANs routet, dieser Switch ist es nicht.

ip route 0.0.0.0 0.0.0.0 172.20.21.10
ip route 100.200.1.0 255.255.255.240 172.20.21.10
ip route 100.200.1.4 255.255.255.255 172.20.21.10

unabhängig deiner Frage: Die 2 extra Routen sind unnötig, da diese bereits über die Default-Route abgehandelt werden.

Punkt 1

vlan 3
no ip address
no ipv6 address

Du hast auf dem VLAN3 sowohl IPv4 als auch die IPv6 deaktiviert. Damit arbeitet der Switch hier rein im Layer2.

Punkt 2. Hätte dem TE eigentlich schon auffallen müssen, dass er auch ohne ACL weder in VLAN 3 rein noch raus kommt.

Aber dann würde ja man nicht mehr zu Firewall kommen, die sich hinter 172.20.21.10 versteckt

Zu der kommst du auch ohne ACL nicht, wenn VLAN 3 die Grundlage/das VLAN-Interface fehlt, um überhaupt am Routing teilnehmen zu können.

das Problem ist das hinter Vlan 3 kein Definierter IP-Bereich ist

Was für einen Sinn hat VLAN 3 dann überhaupt? Ich glaube du musst deine Infrastruktur zuerst bis Schluss durchdesignen, bevor du an die Switchkonfig gehst.

Wenn das (IP-)Design dann steht, sieht deine ACL so aus

ip access-list extended "vlan 3-out"  
     10 permit ip <vlan 3 subnetz> <vlan 3 subnetz>
     20 permit ip <vlan 3 subnetz> 172.20.21.1 0.0.0.0
     30 permit ip <vlan 3 subnetz> 172.20.21.10 0.0.0.0
exit

Achtung, das Subnetz muss als Wildcard angegeben werden.

Die heftest du outgoing an dein VLAN 3.
Damit kann VLAN 3 untereinander, mit dem Interface von VLAN 1 und mit der Firewall kommunizieren, mit dem Rest nicht mehr.

VG

das Problem ist das hinter Vlan 3 kein Definierter IP-Bereich ist, darum any.

Wie ist das möglich ? Das ist ja schon einmal ein IP Adressierungsfehler in sich ! Ein VLAN Segment hat in der Regel IMMER eine feste dedizierte IP Netzwerk Adresse. Wie sollte denn auch ein Layer 3 IP Interface eines L3 Switches so ein Netz routen bzw. Filtern ?! Das wäre IP technisch unmöglich.
Hier machst du vermutliche einen gehörigen Denkfehler ?!
Vermutlich ist dir die Logik der ACL auch nicht klar, was ja die wirre IP Adressierung der Source Adressen oben in der 101er Liste ja auch zeigt. Am VLAN 3 IP Interface kann doch INBOUND immer nur VLAN 3 IP Adressen auftauchen und niemal andere.
Es sei denn du filterst dort outbound, was aber immer grosser Unsinn ist, denn einmal sind diese Frames schon im L3 Switch „drin“ was sicherheitstechnisch nicht besonders intelligent ist. Zweitens geschieht outbound Filterung immer in CPU was also massiv Performance kostet auf einem Switch. Deshalb sollte man sinnvollerweise immer nur inbound filtern !!
Wenn also nur ein paar hosts aus VLAN 3 ins Internet sollen, der Rest aber nicht ist folgende ACL richtig:
!
access list 101
permit ip source host <ip_host1> destination any
permit ip source host <ip_host2> destination any
permit ip source host <ip_host3> destination any
deny ip source vlan 3 destination vlan 1
deny ip source vlan 3 destination vlan 2
!
interface vlan 3
access-group 101 in

Bedeutet...

Host 1, 2 und 3 aus VLAN 3 dürfen überall hin.
Alles mit Absender IP aus VLAN 3 nach VLAN 1 wird geblockt
Alles mit Absender IP aus VLAN 3 nach VLAN 2 wird geblockt

Man beachte die Reihenfolge !

Da Switch ACLs nicht stateful sind werden auch alle Zugriffe aus VLAN 1 und 2 auf VLAN 3 IP Adressen ausser den 3 Hosts geblockt weil deren Rückantwort Pakete geblockt werden.

Frage Hardware Switche, Hubs

Mehr von J-S-1985

Ping in anders VLAN möglich, außer von VLAN 1J-S-1985 - 8 Kommentare

Heiß diskutiert