haurg1
Goto Top

Routing Problem wegen ACL HP Procurve 3500yl

Hallo,

ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.

Ich habe ein Problem mit der ACL 103 und dem VLAN 30

Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.

Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?

Welche Einstellungen beschränken den zugriff?


Besten Dank vorab.

Im folgenden noch die Konfiguration:


; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36

hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

Content-ID: 186848

Url: https://administrator.de/contentid/186848

Ausgedruckt am: 25.11.2024 um 14:11 Uhr

aqui
aqui 21.06.2012 aktualisiert um 12:50:00 Uhr
Goto Top
Ist vermutlich ein typischer HP Bug der das ACL Processing VOR dem VLAN Interface Forwarding macht. Leider nicht unüblich bei billigen L3 Switches. Es mag aber auch sein das es an deiner etwas "ungewöhnliche" Auffassung von ACL Design liegt. In der Regel wird eine outbound ACL niemals mit einer inbound ACL zusammengelegt in eine ACL. Kein Netzwerk macht sowas.... eigentlich ! Das isd immer getrennte ACLs !
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
brammer
brammer 21.06.2012 um 13:56:37 Uhr
Goto Top
Hallo,

neben den Infos von aqui noch einen weiteren Hinweis.
Am Ende jeder ACL steht ein sogenanntes "implicite deny"
Das heißt alles was nicht erlaubt ist, ist verboten.
Deswegen geht das auch nicht wenn du die PERMIT ACL rausnimmst.

brammer
haurg1
haurg1 21.06.2012 aktualisiert um 23:47:46 Uhr
Goto Top
Danke für eure Antworten.

Das mit dem implicite deny ist mir bekannt, jedoch die interne VLAN Weiterleitung sollte doch davon nicht betroffen sein.

@aqui: Ja, ich bin noch unerfahren in dem Bereich routing. Deswegen habe ich mich ja auch an euch gewendet, um von euch zu lernen!

1.) Also soll ich für jedes VLAN eine INbound und eine OUTbound ACL definieren?

Kurz noch zu meinem Verständnis, damit wir nicht aneinander vorbeireden.

2.) Bei einer INbound ACL werden die Pakete abgelehnt, die von außen auf dieses VLAN eintreffen.
Und bei einer OUTbound ACL werden die Pakete blockiert, die nicht rausgehen sollen/ dürfen, oder?

Beste Grüße und Danke für eure Hilfe!
aqui
Lösung aqui 22.06.2012, aktualisiert am 17.09.2015 um 22:07:08 Uhr
Goto Top
1.) Ja, das macht man in der Regel so.... Grund ist das die Reihenfolge der ACL Statements wichtig ist (First Match wins..!)
2.) Inbound ist immer was vom LAN IN den Switch also das L3 Interface des Switches reingeht.
Outbound ist wenn es VOM L3 Interface auf das LAN Segment rausgeht.
haurg1
haurg1 23.06.2012 um 11:08:58 Uhr
Goto Top
Danke aqui für deine hilfreiche antwort.

Ich habe mich zu dem Thema ein bisschen weitergebildet und bin in diversen Foren darauf gestoßen, dass die Inbound ACL performanter wären als die Outbound ACL, da bei Inbound ACLs die Pakete einfach abgelehnt werden, wohingegen bei Outbound die Pakete erst vom Switch verarbeitet werden müssen.

Sollte ich also lediglich INbound ACLs verwenden und auf Outbound verzichten?

Beste Grüße
aqui
aqui 23.06.2012 um 16:30:30 Uhr
Goto Top
Das ist oft so bei Billigswitches wie HP das inbound in Hardware gefiltert wird (Asic) und outbound ACLs immer CPU switched also von der Switch CPU verarbeitet werden müssen.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.