maeck
25.05.2025 um 20:36:31 Uhr
view156
view4
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

InterVLAN ACE+ACL mit Cisco CBS250

FrageSwitche, Hubs
Hallo,

ich habe einen Cisco CBS250 und möchte dort die InterVLAN-Kommunikation mittels ACE/ACL einschränken.
vlan 1 soll grundsätzlich nicht auf vlan 2 zugreifen können, mit der Ausnahme von ICMP, DNS und der https-Webinterfaces der Yealink-Telefone im vlan 2 (https://10.100.2.50)

Dafür habe ich u.a. folgende Regeln erstellt:

ip access-list extended InterVLAN-ACL
permit tcp 10.100.1.0 0.0.0.255 any 10.100.2.0 0.0.0.255 443 ace-priority 150 ## Yealink-Webinterfaces
permit icmp 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 any any ace-priority 197 ## ICMP
permit tcp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.255 domain ace-priority 198 ## ICMP
permit udp 10.100.2.0 0.0.0.255 any 10.100.1.41 0.0.0.255 domain ace-priority 199 ## DNS
deny ip 10.100.2.0 0.0.0.255 10.100.1.0 0.0.0.255 ace-priority 200
...
permit ip any any ace-priority 1000
ICMP und DNS aus vlan1 zum vlan2 funktionieren, aber ich komme nicht auf die Webinterfaces.
Nehm ich die Regeln raus, geht es sofort.
Was übersehe ich?

Gruß Marcel
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 673024

Url: https://administrator.de/forum/intervlan-ace-acl-mit-cisco-cbs250-673024.html

Ausgedruckt am: 25.05.2025 um 22:05 Uhr

4 Kommentare
Neuester Kommentar
Goto Top
Avoton
Avoton 25.05.2025 um 21:09:54 Uhr
Goto Top
Moin,

Was übersehe ich?

Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?

Gruß,
Avoton
heart1
aqui
aqui 25.05.2025 aktualisiert um 21:20:16 Uhr
Goto Top
Die Infos für eine zielgerichtet Hilfe sind leider sehr oberflächlich. face-sad
Es wäre sehr hilfreich wenn man einmal wüsste...
  • Welche IP Adressen vlan 1 und 2 haben?
  • An welchem vlan IP Interface die ACL aktiv ist? (Quelle, Ziel Reihenfolge)
  • Ob generell in den ACLs Whitelisting (Default alles verboten) oder Blacklisting (Default alles erlaubt) aktiv ist?
maeck
maeck 25.05.2025 aktualisiert um 21:35:36 Uhr
Goto Top
Zitat von @Avoton:
Wenn ich mich nicht vertue, hast du bei der Webinterface Regel Quelle und Ziel vertauscht?

permit tcp 10.100.1.0 0.0.0.255 any 10.100.2.0 0.0.0.255 443 ace-priority 150 ## Yealink-Webinterfaces
Quelle ist: 10.100.1.0 0.0.0.255
Ziel ist: 10.100.2.0 0.0.0.255
Hätte angenommen das passt.


Zitat von @aqui:
  • Welche IP Adressen vlan 1 und 2 haben?
vlan1 = 10.100.1.0/24
vlan2 = 10.100.2.0/24
* An welchem vlan IP Interface die ACL aktiv ist? (Quelle, Ziel Reihenfolge)
an VLAN 1 und VLAN2
Quelle ist die erste Netz-Angabe und Ziel die zweite Netzangabe, die Reihenfolge definiert die letzte Zahl Priorität
* Ob generell in den ACLs Whitelisting (Default alles verboten) oder Blacklisting (Default alles erlaubt) aktiv ist?
Die ACL ist mit "deny any" auf den VLANs 1+2 eingebunden.
aqui
aqui 25.05.2025 aktualisiert um 22:08:37 Uhr
Goto Top
Quelle ist: 10.100.1.0 0.0.0.255, Ziel ist: 10.100.2.0 0.0.0.255, Hätte angenommen das passt.
Das ist auch korrekt aber dann sieh dir einmal deine dann folgenden Regeln der ACLan...
Findet den Fehler!!!

permit <protokoll> <quell_ip> <port> <ziel_ip> <port> <reihenfolge>

Mit anderen Worten beim ersten Ruleset hast du noch genau gewusst wo deine Quelle und Ziel ist, bei den folgenden hast du dann irgendetwas geraucht oder getrunken! face-sad
Kollege @Avoton hat dich ja auch schon darauf hingewiesen.

Nur so viel...
  • ACLs sind immer VLAN IP Interface bezogen. Quelladressen können also immer nur aus diesem VLAN IP Netz kommen aber logischerweise niemals woanders her! Woher auch?!
  • Sofern nicht anders definiert gelten die ACLs immer nur global INBOUND. Also VOM Netzwerk Draht IN das Interface hinein.
  • IN- und OUTBOUND ist innerhalb eines ACL Regelwerkes nicht mischbar!
  • ACLs sind bekanntlich nicht stateful

Mit dem Rüstzeug solltest du dich also ganz entspannt mit einem Bierchen zurücklehnen und in aller Ruhe nochmals den Sinn oder Unsinn deines Regelwerkes überdenken! face-wink
FrageSwitche, Hubs
Mehr von maeckmaeckZusammenspiel Adguard + Active Directory + OPNsensemaeck - 9 KommentaremaeckCBS250+CBS220 Voice VLAN konfigurierenmaeck - 5 KommentaremaeckErsatz für Cisco C3560maeck - 16 KommentaremaeckProbleme mit Cisco C3560X - Ersatz-Empfehlungmaeck - 7 Kommentare
Heiß diskutiert
MeinGottWalterDatei hosts zur Abwehr von DatenschnüffeleienMeinGottWalter - 26 KommentareHolgerLuchsHandgeschriebene Signatur in PDF einfach einfügen (einfachste und kostengünstigste Lösung)HolgerLuchs - 24 KommentareMarabuntaVM-Host ServerupgradeMarabunta - 24 KommentareCoreknabeFrage zum Apple AccountCoreknabe - 23 KommentaregravelkingMicrosoft Authenticatorgravelking - 21 KommentarempanziWindows-Oberfläche bleibt schwarz - aber es funktioniert allesmpanzi - 19 KommentaremarkaurelWorkstation Neuinstallation Windows unter Beibehaltung Einstellungen und Datenmarkaurel - 19 KommentareDerWoWussteInteressanter Trick für Windows-NutzersupporterDerWoWusste - 18 KommentareriegelerI226-V kein DHCP möglich: Es kann keine Verbindung mit dem DHCP-Server hergestellt werdenriegeler - 18 KommentareYan2021VPN-Verbingung per Wireguard zum neuen Router herstellenYan2021 - 17 Kommentarepasu69Brother MFC-L5710DN Fax Problempasu69 - 16 Kommentarefisch56Server 2012 keine Benutzerverwaltungfisch56 - 15 KommentareemeriksGemeinsame Kalender von Public Folder ins EXOemeriks - 15 Kommentare