doubleo
Goto Top

Netzwerkeinschränkungen durch IPv4-Based ACE Table

Hallo Zusammen,

ich bin absoluter Netzwerk-rookie habe aber Spaß daran Dinge auszuprobieren und lese mich gerne in Themen ein.

Ich betreibe ein Netzwerk mit 5 VLANs.

Im Cisco Router habe ich jeweils eine ACL-Binding (VLAN) für jedes VLAN eingerichtet.

Diese sehen wie folgt aus (Beispiel für das VLAN 101):

ace table

Ich habe die Adresse 192.168.10.0 freigegeben, da sich dort der Server und NAS befinden.
Die Adresse 192.168.101.0 habe ich freigegeben, dass die Rechner untereinander kommunizieren können.

Läuft auch soweit und bin zufrieden. face-wink

Jetzt habe ich aber folgendes Phänomen was ich nicht zuordnen kann.
Wenn ich z. B. mit der Software Microsoft Teams eine neue Powerapp öffnen möchte, dann lädt diese stundenlang und die App funktioniert nur eingeschränkt.
Löse ich jedoch die ACL Bindung und das VLAN ist "offen". Lädt die Software super schnell alle Funktionen klappen einwandfrei.

Setze ich dann aber wieder die ACL Binding für das VLAN drauf, bleibt die App stabil. D.h. alle Funktionen sind trotzdem nutzbar.

Woran kann das liegen?

Content-ID: 533564

Url: https://administrator.de/contentid/533564

Ausgedruckt am: 26.11.2024 um 03:11 Uhr

142232
Lösung 142232 10.01.2020 aktualisiert um 11:01:38 Uhr
Goto Top
Woran kann das liegen?
192.0.0.0 mit Maske 0.255.255.255 ist daran schuld, damit blockst du regulär im Internet geroutete Adressen!!
Nach RFC1918 ist der private IP Adressbereich in diesem Bereich (192.168.x.x) definiert mit 192.168.0.0 Maske 0.0.255.255 nach negierter Maskenangabe. Und src any ist auch nicht gerade intelligent.
aqui
Lösung aqui 10.01.2020 aktualisiert um 10:59:51 Uhr
Goto Top
Woran kann das liegen?
Das hier solltest du dazu lesen !! Da steht alles drin was du wissen musst und der dortige TO hat identische Anfänger Fehler gemacht wie du auch:
Netzwerk in Wohnprojekt mit Cisco SG350-20
Wenn die Intelligenz mal nicht hilft, dann immer ein Netzwerk
doubleo
doubleo 10.01.2020 um 10:53:41 Uhr
Goto Top
Vielen Dank für die schnelle Antwort.
Ich hoffe, dass es eher was mit Unwissenheit oder Unverständnis zu tun hat als mit Intelligenz. Aber danke für den Hinweis. Werde ich ebenfalls entsprechend anpassen.
doubleo
doubleo 10.01.2020 um 10:54:04 Uhr
Goto Top
@ aqui Vielen Dank
aqui
Lösung aqui 10.01.2020 aktualisiert um 11:01:19 Uhr
Goto Top
Außerdem ist überall die Source IP any falsch !
Dort kann es ja niemals andere IP Adressen geben als die des zum Interface korrespondierenden VLANs. Andere IPs weisen dann eher auf Eindringlinge oder Hacker hin die man ja genau NICHT haben will dort.
Folglich sollte man deshalb in den ACLs, sofern man sie sicher haben will, auch die Absender IP immer richtig auf das VLAN Netz setzen und niemals auf any belassen.
Richtige RFC 1918 IP Masken sollte aber auch jeder Netzwerk Laie mittlerweile kennen !!
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Wenn die Intelligenz mal nicht hilft, dann immer ein Netzwerk Rechner der auch die Filter Wildcards berechnet: face-wink
https://www.heise.de/netze/tools/netzwerkrechner/
doubleo
doubleo 10.01.2020 um 11:19:28 Uhr
Goto Top
Tausend Dank.
Ist jetzt alles umgesetzt.
aqui
aqui 10.01.2020 um 12:13:41 Uhr
Goto Top
👍