14116
30.09.2015, aktualisiert am 01.10.2015
4059
11
0
HP Procurve 5406 und ACLs
Hallo Leute, bitte um Hilfe.
ich komm‘ nicht dahinter warum das da nicht funktioniert.
Wieso kann
- Vom Netz 172.21.2.x auf 172.19.0.9 gepingt werden?
- Vom Netz 172.19.x.x auf 172.21.x.x gepingt werden?
(Am 2. VRRP Partner sind die ACL's gleich gebunden')
ip access-list extended "ACL_19_IN"
10 permit ip 172.21.0.0 0.0.7.255 172.19.0.1 0.0.0.0
20 permit ip 172.21.0.0 0.0.7.255 172.19.0.2 0.0.0.0
30 permit ip 172.21.0.0 0.0.7.255 172.19.0.3 0.0.0.0
40 permit ip 172.21.0.0 0.0.7.255 172.19.0.4 0.0.0.0
50 permit ip 172.21.0.0 0.0.7.255 172.19.0.5 0.0.0.0
60 permit ip 172.21.0.0 0.0.7.255 172.19.0.10 0.0.0.0
70 deny ip 172.21.0.0 0.0.7.255 172.19.0.0 0.0.1.255
80 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "ACL_19_OUT"
10 deny ip 172.19.0.0 0.0.255.255 172.21.0.0 0.0.7.255
20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
vlan 19
name "VoIP"
untagged F12,F14
tagged A6,F10,Trk1-Trk4,Trk11,Trk20-Trk23,Trk100
ip access-group "ACL_19_IN" in
ip access-group "ACL_19_OUT" out
ip address 172.19.0.20 255.255.254.0
vrrp vrid 1
virtual-ip-address 172.19.0.20
priority 255
enable
exit
exit
vlan 21
name "LAN"
untagged A5,B5,F10-F11,F13,Trk30-Trk31
tagged A6-A8,F12,Trk1-Trk4,Trk11,Trk20-Trk23,Trk100
ip address 172.21.0.1 255.255.248.0
vrrp vrid 1
virtual-ip-address 172.21.0.1
priority 255
enable
exit
exit
LG
Günter
ich komm‘ nicht dahinter warum das da nicht funktioniert.
Wieso kann
- Vom Netz 172.21.2.x auf 172.19.0.9 gepingt werden?
- Vom Netz 172.19.x.x auf 172.21.x.x gepingt werden?
(Am 2. VRRP Partner sind die ACL's gleich gebunden')
ip access-list extended "ACL_19_IN"
10 permit ip 172.21.0.0 0.0.7.255 172.19.0.1 0.0.0.0
20 permit ip 172.21.0.0 0.0.7.255 172.19.0.2 0.0.0.0
30 permit ip 172.21.0.0 0.0.7.255 172.19.0.3 0.0.0.0
40 permit ip 172.21.0.0 0.0.7.255 172.19.0.4 0.0.0.0
50 permit ip 172.21.0.0 0.0.7.255 172.19.0.5 0.0.0.0
60 permit ip 172.21.0.0 0.0.7.255 172.19.0.10 0.0.0.0
70 deny ip 172.21.0.0 0.0.7.255 172.19.0.0 0.0.1.255
80 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "ACL_19_OUT"
10 deny ip 172.19.0.0 0.0.255.255 172.21.0.0 0.0.7.255
20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
vlan 19
name "VoIP"
untagged F12,F14
tagged A6,F10,Trk1-Trk4,Trk11,Trk20-Trk23,Trk100
ip access-group "ACL_19_IN" in
ip access-group "ACL_19_OUT" out
ip address 172.19.0.20 255.255.254.0
vrrp vrid 1
virtual-ip-address 172.19.0.20
priority 255
enable
exit
exit
vlan 21
name "LAN"
untagged A5,B5,F10-F11,F13,Trk30-Trk31
tagged A6-A8,F12,Trk1-Trk4,Trk11,Trk20-Trk23,Trk100
ip address 172.21.0.1 255.255.248.0
vrrp vrid 1
virtual-ip-address 172.21.0.1
priority 255
enable
exit
exit
LG
Günter
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284256
Url: https://administrator.de/forum/hp-procurve-5406-und-acls-284256.html
Ausgedruckt am: 10.05.2025 um 22:05 Uhr
11 Kommentare
Neuester Kommentar
Du machst vermutlich einen Denkfehler bei der ACL Logik !
ip access-group xyz in bedeutet INBOUND. A
Sprich also Pakete die vom Draht IN deinen Switch "reingehen".
Analog bedeutet dann ip access-group xyz out das die Regeln alle Pakete betreffen die AUS dem Switch auf den Draht gehen.
Sieht man sich daraufhin mal deine Inbound ACL "19_in" an, die auf dem Interface vlan19 172.19.0.20 /25 sitzt und betrachtet dort nur mal allein das erste Statement der ACL
permit ip 172.21.0.0 0.0.7.255 172.19.0.1 0.0.0.0
Bedeutet das: Alles was mit der Absender IP aus dem 172.21.0.0 /25 Netz hier reinkommt ist erlaubt.
Da fragt man sich: WO sollen Pakete die an einem Interface im 172.19.0.0 /25 Netz liegen herkommen die diese Absender IP haben ?
Normal würde man dort Pakete mit einer Absender IP 172.19.0.0 /25 erwarten und einer Destination IP 172.21.0.0 /25 wenn es um die Kommunikation zw. VLAN 19 und VLAN 21 geht, oder ?
Es sieht also fast danach aus also ob du nicht nur Inbound und Outbound hier verwechselt hast, sondern gleichzeitig obendrauf auch noch das Interface auf das diese ACL gehört.
Klar, das diese ACL dann niemals greifen kann und solche Resultate zeigt wie bei dir !
ip access-group xyz in bedeutet INBOUND. A
Sprich also Pakete die vom Draht IN deinen Switch "reingehen".
Analog bedeutet dann ip access-group xyz out das die Regeln alle Pakete betreffen die AUS dem Switch auf den Draht gehen.
Sieht man sich daraufhin mal deine Inbound ACL "19_in" an, die auf dem Interface vlan19 172.19.0.20 /25 sitzt und betrachtet dort nur mal allein das erste Statement der ACL
permit ip 172.21.0.0 0.0.7.255 172.19.0.1 0.0.0.0
Bedeutet das: Alles was mit der Absender IP aus dem 172.21.0.0 /25 Netz hier reinkommt ist erlaubt.
Da fragt man sich: WO sollen Pakete die an einem Interface im 172.19.0.0 /25 Netz liegen herkommen die diese Absender IP haben ?
Normal würde man dort Pakete mit einer Absender IP 172.19.0.0 /25 erwarten und einer Destination IP 172.21.0.0 /25 wenn es um die Kommunikation zw. VLAN 19 und VLAN 21 geht, oder ?
Es sieht also fast danach aus also ob du nicht nur Inbound und Outbound hier verwechselt hast, sondern gleichzeitig obendrauf auch noch das Interface auf das diese ACL gehört.
Klar, das diese ACL dann niemals greifen kann und solche Resultate zeigt wie bei dir !
Hallo,
danke für Deine Erklärung - jetzt verstehe ich gar nichts mehr.
Mit
möchte ich verhindern dass ein HOST im VLAN 19 das VLAN 21 erreichen kann. Der HOST (ein PC) ist auf einem anderen Switch angeschlossen, welcher mit LACP an diesen 5406er angebunden ist.
Die Quelle ist doch diesem Fall eine IP aus dem 172.19.x.x Netz?
Und das Paket geht doch aus dem VLAN19-Interface raus?
Was soll daran falsch sein?
LG
Günter
danke für Deine Erklärung - jetzt verstehe ich gar nichts mehr.
Mit
ip access-list extended "ACL_19_OUT"
10 deny ip 172.19.0.0 0.0.255.255 172.21.0.0 0.0.7.255
20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
vlan 19 ip access-group "ACL_19_OUT" out möchte ich verhindern dass ein HOST im VLAN 19 das VLAN 21 erreichen kann. Der HOST (ein PC) ist auf einem anderen Switch angeschlossen, welcher mit LACP an diesen 5406er angebunden ist.
Die Quelle ist doch diesem Fall eine IP aus dem 172.19.x.x Netz?
Und das Paket geht doch aus dem VLAN19-Interface raus?
Was soll daran falsch sein?
LG
Günter
danke für Deine Erklärung - jetzt verstehe ich gar nichts mehr.
War der Sinn der Sache....Nein, im Ernst.... Mit
deny ip 172.19.0.0 0.0.255.255 172.21.0.0 0.0.7.255
Blockiert der Switch alle ausgehenden Pakete mit Absender IPs aus dem 172.19.0.0 /16 Netz zu Destination IP Adressen 172.21.0.1 bis 172.21.7.254 (21 Bit Maske)
Diese Accessliste muss auf das VLAN Interface 21 ("ip address 172.21.0.1 255.255.248.0") als Outbound ACL eingerichtet sein, dann ist das richtig !
In deiner geposteten Konfig aber ist auf dem VLAN 21 Interface gar keine Accessliste konfiguriert, deshalb kann diese ACL nicht greifen !
Logischerweise müsste es dann so aussehen:
vlan 21
name "LAN"
untagged A5,B5,F10-F11,F13,Trk30-Trk31
tagged A6-A8,F12,Trk1-Trk4,Trk11,Trk20-Trk23,Trk100
ip address 172.21.0.1 255.255.248.0
ip access-group "ACL_19_OUT" out
Besser ist es immer die Pakete gleich Inbound zu filtern, denn dann gelangen sie gar nicht erst in den Route Prozess des Switches.
Weiterer nachteil: Outgoing ACLs sind bei Billigheimer HP alle CPU gebunden, passieren also in SW und haben somit erheblichen Einfluss auf die Performance des Switches.
Hallo,
Ich hoffe ich verstehe das Ganze "langsam".
Das sind doch Routing ACL's (RACL)?
Sitzt diese ACL nun IM Interface oder in der Routing Engine dahinter?
a) KABEL <-> (ACL-in -> / ACL-out <) Interface <-> Routing Engine
oder
b) KABEL <-> Interface <-> (ACL-in -> / ACL-out <) Routing Engine
?
Nach meinem Versändnis bisher müsste diese Konfig funktioniern.
Ziel: Das Netz 172.19.x.x kommt nicht auf 172.21.x.x
PS: Vielen Dank für Deine Geduld.
LG
Günter
Ich hoffe ich verstehe das Ganze "langsam".
Das sind doch Routing ACL's (RACL)?
Sitzt diese ACL nun IM Interface oder in der Routing Engine dahinter?
a) KABEL <-> (ACL-in -> / ACL-out <) Interface <-> Routing Engine
oder
b) KABEL <-> Interface <-> (ACL-in -> / ACL-out <) Routing Engine
?
Nach meinem Versändnis bisher müsste diese Konfig funktioniern.
Ziel: Das Netz 172.19.x.x kommt nicht auf 172.21.x.x
ip access-list extended "TEST_ACL_19_IN"
10 deny ip 172.19.0.0 0.0.255.255 172.21.0.0 0.0.7.255
20 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
vlan 19 ip access-group "TEST_ACL_19_IN" in PS: Vielen Dank für Deine Geduld.
LG
Günter
Sitzt diese ACL nun IM Interface oder in der Routing Engine dahinter?
Das ist genau die entscheidende Frage ! Stell dir das so vor:Alle Pakete die Outbound gefiltert werden wuseln im IM Switch rum und der Switch sieht sie sich nochmal an nach Source und Destination Adresse bevor er sie final auf den Draht ins Netz schickt.
Das ist Outbound (out Statement)
Inbound betrifft alle Pakete die auf dem Netzwerk Draht sind und in den Switch reinfliessen (in Statement) um dann geroutet zu werden. Diese sieht der Switch nach Source und Destination Adresse an bevor er sie zum Route Prozess schickt.
Diese Logik ist essentiell wichtig für die Funktion der ACLs.
Diese Logik ist essentiell wichtig für die Funktion der ACLs.
Also, bezieht sich das IN oder OUT Statement auf die Routing Engine?
Pakete kommen IN die Routingengine oder verlassen (OUT) diese?
In der Routingengine wird die ACL verarbeitet?
Habe ich das richtig verstanden?
KABEL <-> Interface <-> (ACL-in > / ACL-out <) <-> Routing Engine
LG
Günter
Also, bezieht sich das IN oder OUT Statement auf die Routing Engine?
Ja, kann man so sagen...IN filtert alles was reinkommt VOR dem Routing und OUT filtert alles NACH dem Routing was rausgehen soll.
Richtig ist dann aus logischer Sicht:
KABEL <-> Interface <-> (ACL-in) <-> Routing Engine <-> (ACL-out) <-> Interface <-> KABEL
Richtig ist dann aus logischer Sicht:
KABEL <-> Interface <-> (ACL-in) <-> Routing Engine <-> (ACL-out) <-> Interface <-> KABEL
KABEL <-> Interface <-> (ACL-in) <-> Routing Engine <-> (ACL-out) <-> Interface <-> KABEL
Danke für Deine Hilfe.
LG
Günter
Klappt das denn nun oder ja ?! 
Wunderbaaar....
