Konfiguration von ACLs bei Zyxel GS1910-24

Mitglied: aliasdispi

aliasdispi (Level 1) - Jetzt verbinden

01.01.2016, aktualisiert 03.01.2016, 1561 Aufrufe, 3 Kommentare

Hallo, ich hoffe ich habe nicht einen vorherigen Post übersehen und stelle hiermit eine Frage erneut.

Zu meinem Problem. Ich versuche bei oben genanntem Switch in einem Netzwerk zwei Bereich von einander zu trennen. Netzteil A und B sollen generell nicht miteinander Kommunizieren. Im Netzteil B befindet sich der WLAN Router des ISP, sowie Netzwerkdrucker und Rechner. In Netzteil A befinden sich Rechner und Multimediasysteme. Vom Netzteil A soll z.B. über das WLAN im Netzteil B gedruckt werden können. Es dürfen aber nicht die Rechner im Netz B auf die Rechner im Netz A zugreifen. Die Rechner im Netz A sollen aber auf die Rechner im Netz B zugreifen dürfen (Nur Kabelgebunden, also nicht über WLAN).

Das mal als grober Rahmen des Szenarios.

Bei dem Switch gibt es in der Weboberfläche die Möglichkeit ACL zu Konfigurieren. Nun verstehe ich hier das Prinzip nicht richtig. Gibt es hier nur eine ACL mit mehreren Einträgen? Ich gebe beim erstellen des Eintrages den Eingangsport an, soll aber laut Beschreibung später bei dem eigentlichen Port noch mal die Nummer der Policy eintragen. Kann ich also pro Port nur eine Regel festlegen?

Wäre schön, wenn mal jemand ein Konfigurationsbeispiel für mich hätte.
Ich hoffe ich habe alles verständlich geschildert, sonst bitte einfach noch mal Nachfragen.

Danke schon mal!

http://prodotti.zyxel.it/USERSGUIDE/ZYXGS-1910-SERIE.pdf
--> der link zur Anleitung
Mitglied: aqui
LÖSUNG 02.01.2016, aktualisiert 03.01.2016
Netzteil A und B sollen generell nicht miteinander Kommunizieren.
Eigentlich kinderleicht.... Wenn du einen L3 Switch hast, dann konfigurierst du schlicht und einfach keine IP Adressen in diese VLANs und aus ists mit der Kommunikation !
Ist es eh nur ein simpler L2 VLAN Switch sind die VLANs so oder so vollkommen getrennt. Kommunikation wäre wenn dann nur extern mit Router oder FW möglich. Siehe Tutorial hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Vom Netzteil A soll z.B. über das WLAN im Netzteil B gedruckt werden können. Es dürfen aber nicht die Rechner im Netz B auf die Rechner im Netz A zugreifen.
OK, das macht man dann kinderleicht mit einer ACL sofern der Switch ein L3 Switch ist. Das erzwingt dann auch wieder IP Adressen auf dem Switch in jedem VLAN, da der Switch ja dann routen muss zwischen den Netzen A und B.
Grundlagen zu so einem Design findest du hier:
https://www.administrator.de/wissen/routing-2-netzwerkkarten-windows-u-l ...
Ist ein ziemlich banales Standardszenario....
Nun verstehe ich hier das Prinzip nicht richtig.
WAS genau verstehst du denn daran nicht ?? Hier gibt es immer 2 einfache Grundregeln:
  • ACL greifen nur inbound also für alle Pakete die IN cen Switch reingehen ! (Nicht outbound)
  • "First match wins..." Heist der erste positive Hit bewirkt das folgende Regeln in der ACL nicht mehr abgearbeitet werden. Reihenfolge zählt hier also !!
Gibt es hier nur eine ACL mit mehreren Einträgen?
Ja, das ist bei allen Herstellern so !
Kann ich also pro Port nur eine Regel festlegen?
Nein, nur eine ACL Regel pro Port. Du kannst aber verschiedene ACL generieren. Nur pro Port dann nur eine ACL.
Wäre schön, wenn mal jemand ein Konfigurationsbeispiel für mich hätte.
Für deine Zyxel Gurke oder allgemein ??
Bei Cisco hiesse z.B. eine Regel so:
access-list 100 permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0

Das lässt alle Pakete vom IP Netz 192.168.1.0 /24 zum IP Netz 172.16.1.0 /24 passieren und blockt den ganzen Rest.
access-list 100 permit ip 192.168.1.0 255.255.255.0 host 172.16.1.100

Lässt z.B. alle Clients im Netz 192.168.1.0 /24 auf dem Drucker 172.16.1.100 drucken...
access-list 100 permit tcp 192.168.1.0 255.255.255.0 host 172.16.1.100 eq 80
Lässt z.B. alle Clients im Netz 192.168.1.0 /24 nur per TCP 80 (HTTP) auf den Host 172.16.1.100
usw. usw. usw.
Eigentlich kinderleicht wenn man sich mal vor Augen führt wie sich IP Pakete bewegen im Netz ;-) face-wink
Bitte warten ..
Mitglied: aliasdispi
03.01.2016 um 14:50 Uhr
@aqui

Danke erst mal für die Antwort.

Sie hilft mir nur leider bedingt weiter. Also, dass die Regel hier bei dem ZyXEL nur inbound anzuwenden sind konnte ich mir schon fast denken. Ich gehe mal davon aus, dass dieser SWITCH auch nur Standard ACLs kann. Ich habe aber meinem Anschein nach nur eine ACL in die ich Regeln schreiben kann. Diesen Policy's kann ich id's vergeben. Später soll ich nach der Anleitung dem Port sagen, welche id auf ihn zutrifft. Demnach kann ich ihm ja aber pro Port nur eine Regel geben, was keinen Sinn macht. Die Anleitung lässt sich da nicht weiter aus. Mit VLan's möchte ich in diesem Bereich nicht arbeiten, weil ich kein InterVlan Routing für z. B. das Drucken umsetzen kann, da der SWITCH ein manageable L2 Switch ist. Die Cisco Syntax hilft mir hier leider nicht weiter.

Sonst noch einen Lösungsansatz für mich?
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

Firewall
Windows Defender dauerhaft deaktivieren
Frankie222Vor 1 TagFrageFirewall9 Kommentare

Hallo, ich wollte mal fragen ob jemand weiss wie man bei Windows 10 Home den kompletten Schutz deaktiviert. Den Defender und alles! Ich habe ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 1 TagFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

Suche Projektpartner
Suche Projektpartner
irinaterletska12Vor 1 TagFrageSuche Projektpartner1 Kommentar

Hallo alle zusammen . Wir sind eine ukrainische Firma, die nach dem Projektpartner sucht. Wir können für deutsche Firmen Support geben. Wir können Fernwartung ...

SAN, NAS, DAS
NAS mit Backup Funktion gesucht
YellowcakeVor 1 TagFrageSAN, NAS, DAS8 Kommentare

Hallo zusammen ich bin total unerfahren was diese NAS Systeme angeht die man sich zuhause hinstellen kann. Aktuell habe ich einen kleinen Server hier ...

Windows Server
Wie konvertiere ich NTFS zu GPT
itnirvanaVor 1 TagFrageWindows Server11 Kommentare

Hallo, auf einem Server ist die Platte 2048 GB per NTFS mit vollem Platz erreicht. Wie kann ich nun diese Platte zu GPT konvertieren. ...