Verständisproblem von ACLs auf einem 3COM 4500G
Ich dachte ja, ich kenne mich damit aus, aber offensichtlich ist dem nicht so..
Hallo Jungs und Mädls...
Ich versuche, auf einem 3COM 4500G (Layer3) eine ACL zu konfigurieren, allerdings ohne jeden Erfolg...
Meine Ausgangssituation:
25 VLANs (172.16.0.0/24 bis 172.16.25.0/24)
Server: 172.16.0.0/24
Admins: 172.16.19.0/24
Der Wunsch:
Traffic soll nur möglich sein ins Server- und AdminVlan, kein Traffic zwischen den anderen VLANs (also eigentlich trivial).
Ich habe nun - da das oben verlinkte Manual wenig hergibt - dieses hier zur Hand genommen:
A simple traffic filtering example for the 3Com 4500G
Zusammengefasst meint Dave, dass der 3Com folgendes verarbeiten könnte:
1.) Ich definiere den gewünschen Traffic in der ACL mit DENY
2.) Ich definiere den unerwünschten Traffic in der ACL mit PERMIT
3.) Da die ACL die Rules von oben nach unten durcharbeitet, bleibt am Ende nur der unerwünschte Traffic übrig, der wird nun auch durch die ACL "geschoben"
4.) ich definiere als BEHAVIOR DENY, das heisst, jener Traffic, der zuvor mit PERMIT durch die ACL durchgelassen wurde, wird nun per DENY verworfen.
Jener Traffic, der zuvor in der ACL mit DENY verworfen wurde, bleibt unberührt und kann passieren...
Klingt ja gar nicht mal soooo unlogisch
Bei mir schaut das auszugsweise so aus:
Leider funktioniert das ganze nicht wie gewünscht...
Ich wäre Euch sehr sehr dankbar, wenn ihr mir auf die Sprünge helfen könntet, wie ich dieses Problem lösen könnte...
Danke im Voraus
glg
Edi
Hallo Jungs und Mädls...
Ich versuche, auf einem 3COM 4500G (Layer3) eine ACL zu konfigurieren, allerdings ohne jeden Erfolg...
Meine Ausgangssituation:
25 VLANs (172.16.0.0/24 bis 172.16.25.0/24)
Server: 172.16.0.0/24
Admins: 172.16.19.0/24
Der Wunsch:
Traffic soll nur möglich sein ins Server- und AdminVlan, kein Traffic zwischen den anderen VLANs (also eigentlich trivial).
Ich habe nun - da das oben verlinkte Manual wenig hergibt - dieses hier zur Hand genommen:
A simple traffic filtering example for the 3Com 4500G
Zusammengefasst meint Dave, dass der 3Com folgendes verarbeiten könnte:
1.) Ich definiere den gewünschen Traffic in der ACL mit DENY
2.) Ich definiere den unerwünschten Traffic in der ACL mit PERMIT
3.) Da die ACL die Rules von oben nach unten durcharbeitet, bleibt am Ende nur der unerwünschte Traffic übrig, der wird nun auch durch die ACL "geschoben"
4.) ich definiere als BEHAVIOR DENY, das heisst, jener Traffic, der zuvor mit PERMIT durch die ACL durchgelassen wurde, wird nun per DENY verworfen.
Jener Traffic, der zuvor in der ACL mit DENY verworfen wurde, bleibt unberührt und kann passieren...
Klingt ja gar nicht mal soooo unlogisch
Bei mir schaut das auszugsweise so aus:
[4500G]acl number 3100
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.2.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.3.0 0.0.0.255 destination 172.16.3.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.4.0 0.0.0.255 destination 172.16.4.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.5.0 0.0.0.255 destination 172.16.5.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.6.0 0.0.0.255 destination 172.16.6.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.7.0 0.0.0.255 destination 172.16.7.0 0.0.0.255
usw
4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
Error: The rule already exists.
[4500G-acl-adv-3100]rule deny ip source 172.16.1.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.2.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.3.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.4.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.5.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.6.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.7.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
usw
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255
Error: The rule already exists.
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.2.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.3.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.4.0 0.0.0.255
[4500G-acl-adv-3100]rule deny ip source 172.16.0.0 0.0.0.255 destination 172.16.5.0 0.0.0.255
usw
Das gleiche dann nochmal für 172.16.19.0 als source und destination..
Dann die Rule mit PERMIT:
[4500G-acl-adv-3100]rule permit ip source 172.16.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255
[4500G-acl-adv-3100]quit
[4500G]traffic behavior deny-traffic
[4500G-behavior-deny-traffic]filter deny
[4500G-behavior-deny-traffic]quit
[4500G]traffic classifier nur-ins-0erVLAN
[4500G-classifier-nur-ins-0erVLAN]if-match acl 3100
[4500G-classifier-nur-ins-0erVLAN]quit
[4500G]qos policy nur-ins-0erVLAN
[4500G-qospolicy-nur-ins-0erVLAN]classifier nur-ins-0erVLAN behavior deny-traffic
[4500G-qospolicy-nur-ins-0erVLAN]quit
[4500G]interface GigabitEthernet 1/0/19
[4500G-GigabitEthernet1/0/19]qos apply policy nur-ins-0erVLAN inbound
[4500G-GigabitEthernet1/0/19]undo qos apply policy inbound
[4500G-GigabitEthernet1/0/19]
Leider funktioniert das ganze nicht wie gewünscht...
Ich wäre Euch sehr sehr dankbar, wenn ihr mir auf die Sprünge helfen könntet, wie ich dieses Problem lösen könnte...
Danke im Voraus
glg
Edi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152331
Url: https://administrator.de/contentid/152331
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
1.) Ich definiere den gewünschen Traffic in der ACL mit DENY
2.) Ich definiere den unerwünschten Traffic in der ACL mit PERMIT
Da permit erlauben heißt und deny verbieten solltest du dir diese Formulierung nochmal genau ansehen...
Ich kenne mich bei 3com nicht mit den ACL aus, bei Cisco besser.
Wenn ich bei Cisco allerdings Traffic zwischen VLans auf einem L3 regelmentieren will nehme ich dafür Routing und keine ACL.
brammer
1.) Ich definiere den gewünschen Traffic in der ACL mit DENY
2.) Ich definiere den unerwünschten Traffic in der ACL mit PERMIT
Ich kenne mich bei 3com nicht mit den ACL aus, bei Cisco besser.
Wenn ich bei Cisco allerdings Traffic zwischen VLans auf einem L3 regelmentieren will nehme ich dafür Routing und keine ACL.
brammer
Du machst einen fatalen Denkfehler ! ACL auf Consumer Switches meist immer nur INCOMING auf dem Layer 3 VLAN IP Interface !
Logisch richtig müsste dein Liste also dann so lauten:
1.) Ich definiere den ungewünschen Traffic in der ACL mit DENY
2.) Ich definiere den erwünschten Traffic in der ACL mit PERMIT
3.) Da die ACL die Rules von oben nach unten durcharbeitet, bleibt am Ende nur der unerwünschte Traffic übrig, der wird nun auch durch die ACL "geschoben"
Falsch: Es gilt immer der first Hit, Danach wird die ACL nicht mehr weiter abgearbeitet ! Deshalb muss der DENY Traffic immer zuerst kommen ! 4.) ich definiere als BEHAVIOR DENY, das heisst, jener Traffic, der zuvor mit PERMIT durch die ACL durchgelassen wurde, wird nun per DENY verworfen. Jener Traffic, der zuvor in der ACL mit DENY verworfen wurde, bleibt unberührt und kann passieren... //
Du gehst von falscher Logik aus ! Siehe Punkt 1 und 2 und falsches Verhalten siehe 3
Mal mit Cisco Syntax gesprochen (3Com dürfte das gleich sein) als beispiel eine Liste die den Verkehr aus VLAN 10 ins VLAN 3 und 7 verbietet und den rest erlaubt:
access-list vlan3u7 deny ip 172.16.10.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list vlan3u7 deny ip 172.16.10.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list vlan3u7 permit ip 172.16.10.0 0.0.0.255 any
Eine Liste die aus VLAN 20 nur Traffic zu VLAN 1 erlaubt:
access-list vlan1only permit ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list vlan1only deny ip 172.16.20.0 0.0.0.255 any
Eigentlich eine sehr simple Logik....wie immer bei IP !
Logisch richtig müsste dein Liste also dann so lauten:
1.) Ich definiere den ungewünschen Traffic in der ACL mit DENY
2.) Ich definiere den erwünschten Traffic in der ACL mit PERMIT
3.) Da die ACL die Rules von oben nach unten durcharbeitet, bleibt am Ende nur der unerwünschte Traffic übrig, der wird nun auch durch die ACL "geschoben"
Falsch: Es gilt immer der first Hit, Danach wird die ACL nicht mehr weiter abgearbeitet ! Deshalb muss der DENY Traffic immer zuerst kommen ! 4.) ich definiere als BEHAVIOR DENY, das heisst, jener Traffic, der zuvor mit PERMIT durch die ACL durchgelassen wurde, wird nun per DENY verworfen. Jener Traffic, der zuvor in der ACL mit DENY verworfen wurde, bleibt unberührt und kann passieren... //
Du gehst von falscher Logik aus ! Siehe Punkt 1 und 2 und falsches Verhalten siehe 3
Mal mit Cisco Syntax gesprochen (3Com dürfte das gleich sein) als beispiel eine Liste die den Verkehr aus VLAN 10 ins VLAN 3 und 7 verbietet und den rest erlaubt:
access-list vlan3u7 deny ip 172.16.10.0 0.0.0.255 172.16.3.0 0.0.0.255
access-list vlan3u7 deny ip 172.16.10.0 0.0.0.255 172.16.7.0 0.0.0.255
access-list vlan3u7 permit ip 172.16.10.0 0.0.0.255 any
Eine Liste die aus VLAN 20 nur Traffic zu VLAN 1 erlaubt:
access-list vlan1only permit ip 172.16.20.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list vlan1only deny ip 172.16.20.0 0.0.0.255 any
Eigentlich eine sehr simple Logik....wie immer bei IP !
Am Port ist der Switch ein Layer 2 Switch ! Du machst hier vermutlich wieder einen Denkfehler was den korrekten Sinn von Filtern ausmacht bzw. WO diese zu plazierensind.
Alle VLAN Ports gehören zu einem Layer 2 VLAN und werden dort nur anhand ihrer Mac Adressen "gesehen". Nur wenige Switches können direkt am Endgeräte Port auf Layer 3 filtern. Und wenn sie es können muss man ihnen das explizit in der Konfig sagen.
Ob dein 3Com Geraffel Layer 3 Filter am Port kann, musst du im Handbuch nachsehen.
In der Regel ist es ja auch völliger Unsinn am Port zu filtern, denn dort sind Endgeräte dran. Sinnvoll ist es den Netzwerkzugriff dort zu filtern wo auch das VLAN gerouetet wird also am virtuellen Layer 3 Interface des Switches. Dort werden die IP Pakete ja in andere IP Netze geroutet und nicht am VLAN Port wo alles auf Layer 2 arbeitet.
Syntaktisch ist die ACL aber so richtig. Bau die ACL also am L3 Port ein und gut ist.
Alle VLAN Ports gehören zu einem Layer 2 VLAN und werden dort nur anhand ihrer Mac Adressen "gesehen". Nur wenige Switches können direkt am Endgeräte Port auf Layer 3 filtern. Und wenn sie es können muss man ihnen das explizit in der Konfig sagen.
Ob dein 3Com Geraffel Layer 3 Filter am Port kann, musst du im Handbuch nachsehen.
In der Regel ist es ja auch völliger Unsinn am Port zu filtern, denn dort sind Endgeräte dran. Sinnvoll ist es den Netzwerkzugriff dort zu filtern wo auch das VLAN gerouetet wird also am virtuellen Layer 3 Interface des Switches. Dort werden die IP Pakete ja in andere IP Netze geroutet und nicht am VLAN Port wo alles auf Layer 2 arbeitet.
Syntaktisch ist die ACL aber so richtig. Bau die ACL also am L3 Port ein und gut ist.
Schrott....wäre wohl eher angebracht. Naja ist ja jetzt HP Schrott
Dein Dokument von oben ist komplett falsch, denn das beschreibt ein PBR Szenario ! Vergiss das also ! Das richtige 3Com Dokument findest du hier:
http://knowledge.3com.com/service/main.jsp?t=documentTab&ft=searchT ...
In Chapter 7 auf Seite 129 wird dein Vorhaben ganz genau mit Schritt für Schritt Beispielen erklärt.
Damit solltest du es dann hinbekommen....auch mit 3Com.
Dein Dokument von oben ist komplett falsch, denn das beschreibt ein PBR Szenario ! Vergiss das also ! Das richtige 3Com Dokument findest du hier:
http://knowledge.3com.com/service/main.jsp?t=documentTab&ft=searchT ...
In Chapter 7 auf Seite 129 wird dein Vorhaben ganz genau mit Schritt für Schritt Beispielen erklärt.
Damit solltest du es dann hinbekommen....auch mit 3Com.
Zu Punkt 1: Das kannst du machen wenn du oben auf "Bearbeiten" klickst !
Zu Punkt 2. und 3.: Da fehlt von dir noch ein 2ter Ratschlag: "Finger weg vom 3Com (jetzt HP) Geraffel !"
Wenn man sich nur einmal oben diese zugegeben ziemlich kranke Syntax der ACL Einrichtung ansieht und vergleicht das mal mit Cisco, Brocade, Entensys, Extreme und sogar HP Procurve fällt einem nix mehr ein außer solche Produkte nicht mehr zu kaufen...aber zum Glück gibts ja immer noch genug Leidenswillige. Komplizierter und verworrener kann man es einem Anwender ja wahrlich nicht mehr machen.
Zu Punkt 2. und 3.: Da fehlt von dir noch ein 2ter Ratschlag: "Finger weg vom 3Com (jetzt HP) Geraffel !"
Wenn man sich nur einmal oben diese zugegeben ziemlich kranke Syntax der ACL Einrichtung ansieht und vergleicht das mal mit Cisco, Brocade, Entensys, Extreme und sogar HP Procurve fällt einem nix mehr ein außer solche Produkte nicht mehr zu kaufen...aber zum Glück gibts ja immer noch genug Leidenswillige. Komplizierter und verworrener kann man es einem Anwender ja wahrlich nicht mehr machen.
Hallo,
nur so nebenbei:
3com hat mal richtig gute Netzwerkkarten gebaut.
Aber die richtigen Trieber dazu zu finden war schon immer ein großes Rätselraten.
Vermutlich wird HP das 3com Geraffel mit den ProCurve Geräten durcheinander mischen, und die schlechtesten Features als großen Wurf in 2 Jahren auf den Markt bringen.
Wer einen Cisco Switch konfigurieren kann, kann das auch mit einem Procurve und einem Brocade oder Extreme (Entensys habe ich keine Erfahrungen) aber die 3com Syntax ist schon
"sehr speziell".
Selbst kleinere Switch Hersteller wie NTRON lassen sich mmit der Cisco Logik verstehen.
Allerdings überlege ich noch was schlimmer ist, 3com oder Siemens Scalance Switche....
brammer
nur so nebenbei:
3com hat mal richtig gute Netzwerkkarten gebaut.
Aber die richtigen Trieber dazu zu finden war schon immer ein großes Rätselraten.
Vermutlich wird HP das 3com Geraffel mit den ProCurve Geräten durcheinander mischen, und die schlechtesten Features als großen Wurf in 2 Jahren auf den Markt bringen.
Wer einen Cisco Switch konfigurieren kann, kann das auch mit einem Procurve und einem Brocade oder Extreme (Entensys habe ich keine Erfahrungen) aber die 3com Syntax ist schon
"sehr speziell".
Selbst kleinere Switch Hersteller wie NTRON lassen sich mmit der Cisco Logik verstehen.
Allerdings überlege ich noch was schlimmer ist, 3com oder Siemens Scalance Switche....
brammer