VLAN ACL-Design
Guten Morgen,
ich habe ein paar Fragen zu einem geplanten ACL-Design.
Wir haben standortübergreifend mehrere L3-Switche mit jeweils mehreren VLANs, wir möchten nun von verschiedenen VLANs den Zugriff auf das VLAN an Core Switch 1 mit unserer ESXi-Infrastruktur verweigern.
Wenn ich den allgemeinen Empfehlungen folge, dann würde ich allen betroffenen VLAN-Interfaces über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern, damit bereits frühestmöglich und nah an der Quelle die Kommunikation unterbunden wird. Das würde doch bedeuten, dass ich am Routing-VLAN zu den anderen Core-Switchen die ACL nicht aktivieren muss, richtig?
Von der Handhabung her wäre es aus meiner Sicht wesentlich einfacher die ACL als Outbound am ESXi-VLAN zu konfigurieren und dort die jeweiligen Quell-VLANs zu verweigern, da es hier mit einer ACL nah am Ziel getan wäre. Das soll aber alleine aus Gründen der Performance nicht gemacht werden, oder?
Danke für eure Einschätzung!
ich habe ein paar Fragen zu einem geplanten ACL-Design.
Wir haben standortübergreifend mehrere L3-Switche mit jeweils mehreren VLANs, wir möchten nun von verschiedenen VLANs den Zugriff auf das VLAN an Core Switch 1 mit unserer ESXi-Infrastruktur verweigern.
Wenn ich den allgemeinen Empfehlungen folge, dann würde ich allen betroffenen VLAN-Interfaces über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern, damit bereits frühestmöglich und nah an der Quelle die Kommunikation unterbunden wird. Das würde doch bedeuten, dass ich am Routing-VLAN zu den anderen Core-Switchen die ACL nicht aktivieren muss, richtig?
Von der Handhabung her wäre es aus meiner Sicht wesentlich einfacher die ACL als Outbound am ESXi-VLAN zu konfigurieren und dort die jeweiligen Quell-VLANs zu verweigern, da es hier mit einer ACL nah am Ziel getan wäre. Das soll aber alleine aus Gründen der Performance nicht gemacht werden, oder?
Danke für eure Einschätzung!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1704392314
Url: https://administrator.de/forum/vlan-acl-design-1704392314.html
Ausgedruckt am: 25.12.2024 um 17:12 Uhr
6 Kommentare
Neuester Kommentar
über eine inbound extended ACL den Zugriff auf das Ziel-Subnetz über deny verweigern
Das ist richtig, denn das soll verhindern das nicht gewollter Traffic überhaupt das Forwarding Device erreicht. Es wäre ja wenig zielführend den gesamten ungewollten Traffic vollständig im System zu routen, es zusätzlich damit zu belasten (ohne jetzt von Security zu reden) und dann am Ziel am Outbound Interface final zu löschen.Bedenke aber immer das Switch ACLs nicht stateful sind im Vergleich zu Firewalls ! Ein reines ACL Regelwerk ist also etwas aufwändiger.
Was stutzig macht zu deinem Vorhaben ist das du hier von "Standorten" redest ?! Standorte sind ja in der Regel immer mit VPNs oder mit anderen Tunnel Techniken angebunden sofern man über öffentliche Netze koppelt. Dann filtert man natürlich nicht am Switch sondern immer an der Firewall oder Router welcher diese Standort Kopplung realisiert.
Leider machst du zum Design ja nur recht oberflächliche bis keine Angaben so das eine zielführende Hilfe bzw. Antwort nicht wirklich möglich ist.
Spricht grundsätzlich etwas dagegen, bei allen VLANs die TCP-Antworten grundsätzlich folgendermaßen zu erlauben?
Nein, spricht nichts dagegen. Im Gegenteil, das ist gängige Praxis bei ACLs.UDP fehlt ja bekanntlich der Sessionlayer, deshalb klappt es da nicht und auch da macht man es so wie du es schon angegeben hast !
Alles richtig also !