InterVLAN ACE+ACL mit Cisco CBS250
Hallo,
ich habe einen Cisco CBS250 und möchte dort die InterVLAN-Kommunikation mittels ACE/ACL einschränken.
vlan 1 soll grundsätzlich nicht auf vlan 2 zugreifen können, mit der Ausnahme von ICMP, DNS und der https-Webinterfaces der Yealink-Telefone im vlan 2 (https://10.100.2.50)
Dafür habe ich u.a. folgende Regeln erstellt:
ICMP und DNS aus vlan1 zum vlan2 funktionieren, aber ich komme nicht auf die Webinterfaces.
Nehm ich die Regeln raus, geht es sofort.
Was übersehe ich?
Gruß Marcel
ich habe einen Cisco CBS250 und möchte dort die InterVLAN-Kommunikation mittels ACE/ACL einschränken.
vlan 1 soll grundsätzlich nicht auf vlan 2 zugreifen können, mit der Ausnahme von ICMP, DNS und der https-Webinterfaces der Yealink-Telefone im vlan 2 (https://10.100.2.50)
Dafür habe ich u.a. folgende Regeln erstellt:
ip access-list extended InterVLAN-ACL
permit tcp 10.100.1.0 0.0.0.255 any 10.100.2.0 0.0.0.255 443 ace-priority 150 ## Yealink-Webinterfaces
permit icmp 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 any any ace-priority 197 ## ICMP
permit tcp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.255 domain ace-priority 198 ## ICMP
permit udp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.255 domain ace-priority 199 ## DNS
deny ip 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 ace-priority 200
...
permit ip any any ace-priority 1000Nehm ich die Regeln raus, geht es sofort.
Was übersehe ich?
Gruß Marcel
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673024
Url: https://administrator.de/forum/intervlan-ace-acl-mit-cisco-cbs250-673024.html
Ausgedruckt am: 18.06.2025 um 06:06 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?
Gruß,
Avoton
Was übersehe ich?
Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?
Gruß,
Avoton
1
Die Infos für eine zielgerichtet Hilfe sind leider sehr oberflächlich. 
Es wäre sehr hilfreich wenn man einmal wüsste...
Es wäre sehr hilfreich wenn man einmal wüsste...
- Welche IP Adressen vlan 1 und 2 haben?
- An welchem vlan IP Interface die ACL aktiv ist? (Quelle, Ziel Reihenfolge)
- Ob generell in den ACLs Whitelisting (Default alles verboten) oder Blacklisting (Default alles erlaubt) aktiv ist?
Zitat von @Avoton:
Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?
Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?
permit tcp 10.100.1.0 0.0.0.255 any 10.100.2.0 0.0.0.255 443 ace-priority 150 ## Yealink-WebinterfacesZiel ist: 10.100.2.0 0.0.0.255
Hätte angenommen das passt.
vlan1 = 10.100.1.0/24
vlan2 = 10.100.2.0/24
* An welchem vlan IP Interface die ACL aktiv ist? (Quelle, Ziel Reihenfolge)
an VLAN 1 und VLAN2Quelle ist die erste Netz-Angabe und Ziel die zweite Netzangabe, die Reihenfolge definiert die letzte Zahl Priorität
* Ob generell in den ACLs Whitelisting (Default alles verboten) oder Blacklisting (Default alles erlaubt) aktiv ist?
Die ACL ist mit "deny any" auf den VLANs 1+2 eingebunden.Quelle ist: 10.100.1.0 0.0.0.255, Ziel ist: 10.100.2.0 0.0.0.255, Hätte angenommen das passt.
Das ist auch korrekt aber dann sieh dir einmal deine dann folgenden Regeln der ACLan...Finde den Fehler!!!
permit <protokoll> <quell_ip> <port> <ziel_ip> <port> <reihenfolge>
Mit anderen Worten: Beim ersten Ruleset hast du noch genau gewusst wo deine Quelle und Ziel ist, bei den folgenden hast du dann irgendetwas geraucht oder getrunken denn ab da wird es wirr und falsch. 🤪
Kollege @Avoton hat dich ja auch schon richtigerweise darauf hingewiesen.
Nur so viel...
- ACLs sind immer VLAN IP Interface bezogen. Quelladressen können also immer nur aus diesem VLAN IP Netz kommen aber logischerweise niemals von woanders her! Woher auch?! Die Quelle einer ACL an einem bestimmten VLAN IP Interface ist also erwartungsgemäß immer gleich und bezieht sich immer auf das entsprechend zum IP Interface korrespondierende VLAN.
- Sofern nicht anders definiert gelten die ACLs immer nur global INBOUND. Also VOM Netzwerk Draht IN das Interface hinein.
- IN- und OUTBOUND ist innerhalb eines ACL Regelwerkes nicht mischbar!
- First match wins
- ACLs sind bekanntlich nicht stateful
Mit dem ACL Rüstzeug solltest du dich also ganz entspannt mit einem Bierchen zurücklehnen und in aller Ruhe nochmals den Sinn oder Unsinn deines Regelwerkes genau überdenken! Dann klappt das auch alles sofort.
Ein Beispiel:
Das ist deine Anforderung: vlan 1 soll grundsätzlich nicht auf vlan 2 zugreifen können. Ausnahme: ICMP, DNS und der HTTPS-Webinterfaces der Yealink-Telefone im vlan 2 (10.100.2.50)
Dann kann eine Lösung so aussehen:
- Blacklisting Logik für die ACL aktivieren. (Es ist alles erlaubt was nicht explizit verboten ist bzw. Default Rule permit any any)
- ACL ist INBOUND aktiv am VLAN 2 IP Interface
- /32er Hostadressen haben eine "0.0.0.0" Inversmaske und keine /24er Netzwerk Maske
ip access-list extended NO-VLAN1
permit tcp 10.100.2.50 0.0.0.0 any 10.100.1.0 0.0.0.255 443 ace-priority 10 ## Yealink-WebInts
permit icmp 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 any any ace-priority 20 ## ICMP
permit tcp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.0 domain ace-priority 30 ## DNS-TCP
permit udp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.0 domain ace-priority 40 ## DNS-UDP
deny ip 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 ace-priority 50 ## No VLAN2to1- 1 = Name
- 2-5 = Erlaubter Traffic von VLAN 1 ins VLAN 1
- 6 = Traffic der verboten ist
- Default (und muss nicht extra ausgeführt werden) = Erlaubt any any
Wenn es das als Lösung war bitte deinen Thead dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Vielen Dank für die ausführlichen Rückmeldungen.
Ich kann es krankheitsbedingt leider erst die nächsten Tage testen – melde mich dann wieder.
Ich kann es krankheitsbedingt leider erst die nächsten Tage testen – melde mich dann wieder.
