Routing Problem wegen ACL HP Procurve 3500yl
Hallo,
ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.
Ich habe ein Problem mit der ACL 103 und dem VLAN 30
Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.
Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?
Welche Einstellungen beschränken den zugriff?
Besten Dank vorab.
Im folgenden noch die Konfiguration:
; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36
hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.
Ich habe ein Problem mit der ACL 103 und dem VLAN 30
Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.
Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?
Welche Einstellungen beschränken den zugriff?
Besten Dank vorab.
Im folgenden noch die Konfiguration:
; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36
hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 186848
Url: https://administrator.de/contentid/186848
Ausgedruckt am: 25.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Ist vermutlich ein typischer HP Bug der das ACL Processing VOR dem VLAN Interface Forwarding macht. Leider nicht unüblich bei billigen L3 Switches. Es mag aber auch sein das es an deiner etwas "ungewöhnliche" Auffassung von ACL Design liegt. In der Regel wird eine outbound ACL niemals mit einer inbound ACL zusammengelegt in eine ACL. Kein Netzwerk macht sowas.... eigentlich ! Das isd immer getrennte ACLs !
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
Das ist oft so bei Billigswitches wie HP das inbound in Hardware gefiltert wird (Asic) und outbound ACLs immer CPU switched also von der Switch CPU verarbeitet werden müssen.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.