6
Routing Problem wegen ACL HP Procurve 3500yl
Hallo,
ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.
Ich habe ein Problem mit der ACL 103 und dem VLAN 30
Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.
Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?
Welche Einstellungen beschränken den zugriff?
Besten Dank vorab.
Im folgenden noch die Konfiguration:
; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36
hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.
Ich habe ein Problem mit der ACL 103 und dem VLAN 30
Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.
Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?
Welche Einstellungen beschränken den zugriff?
Besten Dank vorab.
Im folgenden noch die Konfiguration:
; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36
hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186848
Url: https://administrator.de/contentid/186848
Printed on: April 23, 2024 at 07:04 o'clock
6 Comments
Latest comment
Ist vermutlich ein typischer HP Bug der das ACL Processing VOR dem VLAN Interface Forwarding macht. Leider nicht unüblich bei billigen L3 Switches. Es mag aber auch sein das es an deiner etwas "ungewöhnliche" Auffassung von ACL Design liegt. In der Regel wird eine outbound ACL niemals mit einer inbound ACL zusammengelegt in eine ACL. Kein Netzwerk macht sowas.... eigentlich ! Das isd immer getrennte ACLs !
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
Hallo,
neben den Infos von aqui noch einen weiteren Hinweis.
Am Ende jeder ACL steht ein sogenanntes "implicite deny"
Das heißt alles was nicht erlaubt ist, ist verboten.
Deswegen geht das auch nicht wenn du die PERMIT ACL rausnimmst.
brammer
neben den Infos von aqui noch einen weiteren Hinweis.
Am Ende jeder ACL steht ein sogenanntes "implicite deny"
Das heißt alles was nicht erlaubt ist, ist verboten.
Deswegen geht das auch nicht wenn du die PERMIT ACL rausnimmst.
brammer
Danke für eure Antworten.
Das mit dem implicite deny ist mir bekannt, jedoch die interne VLAN Weiterleitung sollte doch davon nicht betroffen sein.
@aqui: Ja, ich bin noch unerfahren in dem Bereich routing. Deswegen habe ich mich ja auch an euch gewendet, um von euch zu lernen!
1.) Also soll ich für jedes VLAN eine INbound und eine OUTbound ACL definieren?
Kurz noch zu meinem Verständnis, damit wir nicht aneinander vorbeireden.
2.) Bei einer INbound ACL werden die Pakete abgelehnt, die von außen auf dieses VLAN eintreffen.
Und bei einer OUTbound ACL werden die Pakete blockiert, die nicht rausgehen sollen/ dürfen, oder?
Beste Grüße und Danke für eure Hilfe!
Das mit dem implicite deny ist mir bekannt, jedoch die interne VLAN Weiterleitung sollte doch davon nicht betroffen sein.
@aqui: Ja, ich bin noch unerfahren in dem Bereich routing. Deswegen habe ich mich ja auch an euch gewendet, um von euch zu lernen!
1.) Also soll ich für jedes VLAN eine INbound und eine OUTbound ACL definieren?
Kurz noch zu meinem Verständnis, damit wir nicht aneinander vorbeireden.
2.) Bei einer INbound ACL werden die Pakete abgelehnt, die von außen auf dieses VLAN eintreffen.
Und bei einer OUTbound ACL werden die Pakete blockiert, die nicht rausgehen sollen/ dürfen, oder?
Beste Grüße und Danke für eure Hilfe!
1.) Ja, das macht man in der Regel so.... Grund ist das die Reihenfolge der ACL Statements wichtig ist (First Match wins..!)
2.) Inbound ist immer was vom LAN IN den Switch also das L3 Interface des Switches reingeht.
Outbound ist wenn es VOM L3 Interface auf das LAN Segment rausgeht.
2.) Inbound ist immer was vom LAN IN den Switch also das L3 Interface des Switches reingeht.
Outbound ist wenn es VOM L3 Interface auf das LAN Segment rausgeht.
Danke aqui für deine hilfreiche antwort.
Ich habe mich zu dem Thema ein bisschen weitergebildet und bin in diversen Foren darauf gestoßen, dass die Inbound ACL performanter wären als die Outbound ACL, da bei Inbound ACLs die Pakete einfach abgelehnt werden, wohingegen bei Outbound die Pakete erst vom Switch verarbeitet werden müssen.
Sollte ich also lediglich INbound ACLs verwenden und auf Outbound verzichten?
Beste Grüße
Ich habe mich zu dem Thema ein bisschen weitergebildet und bin in diversen Foren darauf gestoßen, dass die Inbound ACL performanter wären als die Outbound ACL, da bei Inbound ACLs die Pakete einfach abgelehnt werden, wohingegen bei Outbound die Pakete erst vom Switch verarbeitet werden müssen.
Sollte ich also lediglich INbound ACLs verwenden und auf Outbound verzichten?
Beste Grüße
Das ist oft so bei Billigswitches wie HP das inbound in Hardware gefiltert wird (Asic) und outbound ACLs immer CPU switched also von der Switch CPU verarbeitet werden müssen.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.
