6
HPE Aruba 2920 ACL access-group auf VLAN WB 16
Hallo zusammen
Dies ist meine erste Frage in diesem Forum.
Ich hoffe, ihr könnt mir folgende Fragen beantworten und mir eventuell ein Dokument verlinken, in welchem alles genau beschrieben ist.
Wie einzelne ACLs erstellt werden, ist mir verständlich.
Dazu habe ich auch schon gute Anleitungen gefunden.
Aber für die Zuweisung der ACLs auf die VLANs habe ich noch keine gute Anleitung gefunden.
1. Wie können die ACLs auf ein VLAN zugewiesen werden?
Ich habe schon folgende Beispiele gefunden:
z.B.
vlan 19
ip access-group "101" vlan
ip access-group "111" vlan-in
Wie sind die genauen Befehle für "in" und "out" oder in+out?
2. Wie kann eine Stateful ACL erstellt werden?
Anwendungsbeispiel:
Ich will vom Management-VLAN mit allen IPs und Ports in das Client-VLAN kommen.
Das Client-VLAN darf aber keinen Zugriff auf das Management VLAN haben.
Wenn ich nun die ACL «deny Client-VLAN zu Management-VLAN» erstellt habe, erreiche ich vom Management-VLAN aus nichts mehr im Client-VLAN.
Da die Rückantwort geblockt ist, da ACLs unidirectional sind.
Bei Cisco gibt es das keyword established.
Beispiel ACL:
PERMIT tcp any gt1023 host 192.168.1.1 eq 443 established
Wie ist das bei den HPE 2920/30ern?
Wie kann ich das Anwendungsbeispiel mit ACLs umsetzten?
Vielen Dank bereits im Voraus für eure Hilfe.
Gruss
chsystemer
Dies ist meine erste Frage in diesem Forum.
Ich hoffe, ihr könnt mir folgende Fragen beantworten und mir eventuell ein Dokument verlinken, in welchem alles genau beschrieben ist.
Wie einzelne ACLs erstellt werden, ist mir verständlich.
Dazu habe ich auch schon gute Anleitungen gefunden.
Aber für die Zuweisung der ACLs auf die VLANs habe ich noch keine gute Anleitung gefunden.
1. Wie können die ACLs auf ein VLAN zugewiesen werden?
Ich habe schon folgende Beispiele gefunden:
z.B.
vlan 19
ip access-group "101" vlan
ip access-group "111" vlan-in
Wie sind die genauen Befehle für "in" und "out" oder in+out?
2. Wie kann eine Stateful ACL erstellt werden?
Anwendungsbeispiel:
Ich will vom Management-VLAN mit allen IPs und Ports in das Client-VLAN kommen.
Das Client-VLAN darf aber keinen Zugriff auf das Management VLAN haben.
Wenn ich nun die ACL «deny Client-VLAN zu Management-VLAN» erstellt habe, erreiche ich vom Management-VLAN aus nichts mehr im Client-VLAN.
Da die Rückantwort geblockt ist, da ACLs unidirectional sind.
Bei Cisco gibt es das keyword established.
Beispiel ACL:
PERMIT tcp any gt1023 host 192.168.1.1 eq 443 established
Wie ist das bei den HPE 2920/30ern?
Wie kann ich das Anwendungsbeispiel mit ACLs umsetzten?
Vielen Dank bereits im Voraus für eure Hilfe.
Gruss
chsystemer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352343
Url: https://administrator.de/contentid/352343
Printed on: April 25, 2024 at 03:04 o'clock
6 Comments
Latest comment
Hallo brammer
Vielen Dank für dienen Verweis.
Meine erste Frage ist somit beantwortet, bei mir hat nämlich auch nur vlan-in funktioniert.
Jedoch ist meine 2. Frage noch nicht beantwortet...
Danke & Gruss
chsystemer
Vielen Dank für dienen Verweis.
Meine erste Frage ist somit beantwortet, bei mir hat nämlich auch nur vlan-in funktioniert.
Jedoch ist meine 2. Frage noch nicht beantwortet...
Danke & Gruss
chsystemer
Bei HPE/Aruba war, wenn ich mich recht erinnere, immer alles stateless.
Versuch doch ansonsten mal die gängiste Varianten von ACLs, die letzte Zeile ist ein >deny any any< und oben drüber gibst du das frei, was du brauchst.
Moin,
Gruß,
Dani
Bei Cisco gibt es das keyword established.
gibt es bei HP Procurve ACLs auch. Genauer gesagt bei Extendend ACLs. Hier ein Beispiel wie solch eine Regel aussehen kann.Gruß,
Dani
Hallo Dani
So wie es aussieht, hat der HPE Aruba 2920 diese Funktion nicht.
Mein Ziel ist es, dass mein Gerät mit der IP 192.168.10.30 das Gerät mit der IP 192.168.20.30 pingen kann,
das Gerät mit der IP 192.168.20.30 das Gerät mit der IP 192.168.10.30 aber nicht pingen kann.
Hier meine Test-Konfigurationen.
So können sich beide pingen:
hostname "HP-Stack-2920"
aruba-central disable
no rest-interface
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip routing
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
member 1
ip address dhcp-bootp
exit
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1/1-1/2
untagged 1/3-1/48
ip address dhcp-bootp
exit
vlan 10
name "VLAN10"
untagged 1/1
ip access-group "110" vlan-in
ip address 192.168.10.254 255.255.255.0
exit
vlan 20
name "VLAN20"
untagged 1/2
ip access-group "120" vlan-in
ip address 192.168.20.254 255.255.255.0
exit
So können sich auch beide pingen:
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
99 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
So kann sich keiner mehr pingen:
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
99 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
So wie es aussieht, hat der HPE Aruba 2920 diese Funktion nicht.
Mein Ziel ist es, dass mein Gerät mit der IP 192.168.10.30 das Gerät mit der IP 192.168.20.30 pingen kann,
das Gerät mit der IP 192.168.20.30 das Gerät mit der IP 192.168.10.30 aber nicht pingen kann.
Hier meine Test-Konfigurationen.
So können sich beide pingen:
hostname "HP-Stack-2920"
aruba-central disable
no rest-interface
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip routing
snmp-server community "public" unrestricted
oobm
ip address dhcp-bootp
member 1
ip address dhcp-bootp
exit
exit
vlan 1
name "DEFAULT_VLAN"
no untagged 1/1-1/2
untagged 1/3-1/48
ip address dhcp-bootp
exit
vlan 10
name "VLAN10"
untagged 1/1
ip access-group "110" vlan-in
ip address 192.168.10.254 255.255.255.0
exit
vlan 20
name "VLAN20"
untagged 1/2
ip access-group "120" vlan-in
ip address 192.168.20.254 255.255.255.0
exit
So können sich auch beide pingen:
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
99 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
So kann sich keiner mehr pingen:
ip access-list extended "110"
9 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 deny ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
99 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
exit
ip access-list extended "120"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
11 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
20 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Moin,
Gruß,
Dani
So wie es aussieht, hat der HPE Aruba 2920 diese Funktion nicht.
Firmware auf dem Gerät aktuell? Ansonsten würde ich den Dienstleister anhauen, wo du das Gerät her hast. Die sollen indirekt HPE fragen warum dies bei dem neuen 2920 nicht mehr möglich ist.Gruß,
Dani
