6
VLAN Routing HP Procurve 3500yl
Hallo Administrator Forum,
ich habe eine Frage zum Thema VLAN Routing auf dem HP Procurve 3500yl. Vielleicht kann mir jemand dabei weiterhelfen.
Zu aller erst hier einmal meine aktuelle Konfig:
Wie man sieht habe ich 3 VLANs konfiguriert und diesen VLANs Trunks und Ports zugewiesen.
Ich habe IP Routing aktiviert um die kommunikation zwischen den Netzen zu ermöglichen.
Allerdings soll das "wlan_guest" nicht auf das "default_vlan" und das "firmen_wlan" zugreifen können.
Laut HP Handbuch sollte man dies über ACLs regeln können. Dazu habe ich dann 3 ACLs erstellt, acl_vlan_1 regelt den zugriff auf Vlan1 etc., und diese dem jeweiligen VLAN zugewiesen.
Leider kann ich immernoch von jedem Netz in jedes andere Netz Pingen.
Meine Frage ist jetzt wieso werden meine ACLs ignoriert? Oder muss ich diese noch einmal explizit aktiviren?
Da dies mein ersten Zusammentreffen mit HP Switchen und VLANs ist möchte ich auch nicht ausschließen das sich ein Fehler eingeschlichen hat
Ich bin für alle Vorschläge dankbar ;)
Gruß,
Osiron
ProCurve Switch 3500yl-48G# show running-config
Running configuration:
; J8693A Configuration Editor; Created on release #K.15.03.0007
hostname "ProCurve Switch 3500yl-48G"
ip access-list standard "acl_vlan_1"
20 permit 192.168.100.0 0.0.0.255
30 permit 192.168.111.0 0.0.0.255
40 deny 0.0.0.0 255.255.255.255
exit
ip access-list standard "acl_vlan_3"
10 permit 192.168.10.0 0.0.0.255
20 deny 0.0.0.0 255.255.255.255
exit
ip access-list standard "acl_vlan_2"
10 permit 192.168.100.0 0.0.0.255
20 permit 192.168.111.0 0.0.0.255
30 deny 0.0.0.0 255.255.255.255
exit
module 1 type J86yyA
module 2 type J86xxA
module 3 type J8694A
trunk 3 Trk1 Trunk
trunk 4 Trk2 Trunk
ip default-gateway 192.168.100.57
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1-2,7-48,A1-A4,Trk1-Trk2
ip address 192.168.100.57 255.255.255.0
no untagged 5-6
ip access-group "acl_vlan_1" vlan
exit
vlan 2
name "firmen_wlan"
untagged 5
ip address 192.168.111.254 255.255.255.0
tagged Trk1-Trk2
ip access-group "acl_vlan_2" vlan
exit
vlan 3
name "wlan_guest"
untagged 6
ip address 192.168.10.1 255.255.255.0
tagged Trk1-Trk2
ip access-group "acl_vlan_3" vlan
exit
snmp-server community "public" unrestricted
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
ProCurve Switch 3500yl-48G#Wie man sieht habe ich 3 VLANs konfiguriert und diesen VLANs Trunks und Ports zugewiesen.
Ich habe IP Routing aktiviert um die kommunikation zwischen den Netzen zu ermöglichen.
Allerdings soll das "wlan_guest" nicht auf das "default_vlan" und das "firmen_wlan" zugreifen können.
Laut HP Handbuch sollte man dies über ACLs regeln können. Dazu habe ich dann 3 ACLs erstellt, acl_vlan_1 regelt den zugriff auf Vlan1 etc., und diese dem jeweiligen VLAN zugewiesen.
Leider kann ich immernoch von jedem Netz in jedes andere Netz Pingen.
Meine Frage ist jetzt wieso werden meine ACLs ignoriert? Oder muss ich diese noch einmal explizit aktiviren?
Da dies mein ersten Zusammentreffen mit HP Switchen und VLANs ist möchte ich auch nicht ausschließen das sich ein Fehler eingeschlichen hat
Ich bin für alle Vorschläge dankbar ;)
Gruß,
Osiron
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182494
Url: https://administrator.de/contentid/182494
Printed on: April 25, 2024 at 15:04 o'clock
6 Comments
Latest comment
Die ACLs sind auch mit Verlaub gesagt irgendwie komisch d.h. nicht eindeutig. Vielleicht ist das bei HP ja auch so...?? Die können halt Server u. PCs bauen besser als mit Netzen umgehen ! Aber egal...
Deine ACL im Gast VLAN (und auch den anderen VLANs) ist ja relativ nichtssagend, denn sie besagt mit den Eintrag "permit 192.168.10.0 0.0.0.255" ja lediglich nur das hier IP Pakete mit einer Absenderadresse aus dem 192.168.10.0er Netz passieren dürfen. Mehr aber auch nicht !! Nichts zum Ziel usw.
Wenn du jetzt pingst auf Endgeräte in den anderen VLANs prüft die ACL also nur "kommt das Paket aus 192.168.10.0" Ja oder Nein.
Dir leuchtet ein das das nicht wirklich tierfern Sinn macht, denn Pings an die Zieladressen im .100er und .11er Netz können so natürlich auch problemlos passieren und deshalb kannst du weiterhin auch alles pingen. Logisch also und der Switch macht das was er soll....
Du siehst selber das aus logischer Sicht diese ACL eigentlich überflüssiger Unsinn sind, denn es müssten natürlich die Zielnetze mit einbezogen werden.
Ohne jetzt die komische HP Accesslisten Syntax Logik zu kennen müsste eine ACL für das Gastnetz so aussehen: (Vorne Source IP hinten Destination IP !)
10 deny 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
20 deny 192.168.10.0 0.0.0.255 192.168.111.0 0.0.0.255
30 permit 192.168.10.0 0.0.0.255 any
Damit ist dann ein Pingen der .100er und .111er Netze unmöglich. Die Liste erklärt sich ja auch logisch von selbst und sollte man auch so drauf kommen wenn man sich nur mal ein klein bischen in die Lage einen IP Paketes versetzt wie das von VLAN zu VLAN im Switch geroutet wird.
Analog gilt diese ACL Logik so auch für die beiden anderen VLAN Accesslisten.
Deine ACL im Gast VLAN (und auch den anderen VLANs) ist ja relativ nichtssagend, denn sie besagt mit den Eintrag "permit 192.168.10.0 0.0.0.255" ja lediglich nur das hier IP Pakete mit einer Absenderadresse aus dem 192.168.10.0er Netz passieren dürfen. Mehr aber auch nicht !! Nichts zum Ziel usw.
Wenn du jetzt pingst auf Endgeräte in den anderen VLANs prüft die ACL also nur "kommt das Paket aus 192.168.10.0" Ja oder Nein.
Dir leuchtet ein das das nicht wirklich tierfern Sinn macht, denn Pings an die Zieladressen im .100er und .11er Netz können so natürlich auch problemlos passieren und deshalb kannst du weiterhin auch alles pingen. Logisch also und der Switch macht das was er soll....
Du siehst selber das aus logischer Sicht diese ACL eigentlich überflüssiger Unsinn sind, denn es müssten natürlich die Zielnetze mit einbezogen werden.
Ohne jetzt die komische HP Accesslisten Syntax Logik zu kennen müsste eine ACL für das Gastnetz so aussehen: (Vorne Source IP hinten Destination IP !)
10 deny 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
20 deny 192.168.10.0 0.0.0.255 192.168.111.0 0.0.0.255
30 permit 192.168.10.0 0.0.0.255 any
Damit ist dann ein Pingen der .100er und .111er Netze unmöglich. Die Liste erklärt sich ja auch logisch von selbst und sollte man auch so drauf kommen wenn man sich nur mal ein klein bischen in die Lage einen IP Paketes versetzt wie das von VLAN zu VLAN im Switch geroutet wird.
Analog gilt diese ACL Logik so auch für die beiden anderen VLAN Accesslisten.
Hi
Nimm die IP aus dem VLAN für Gäste raus, dann kann (und will) der Switch das nicht mehr routen. Das VLAN lässt dann direkt auf die Firewall "auflaufen" und stellst den DHCP so ein, dass die Firewall oder Router das Default Gateway wird (alles nur nicht den Switch) - den DHCP kann dann auch die Firewall machen
Damit kann der HP Switch gar nicht mehr in das VLAN 3 routen und die Gäste kommen von dort aus auch nicht mehr auf die anderen VLANs, das VLAN selbst einfach über die Uplink Ports an die Endpunkte durchgeben ohne das irgendein Endgerät dort eine IP bekommt, außer der Firewall am Ende. Dann musst lediglich (sofern gewünscht) die Uplinks für die Access Points konfigurieren und kann diese dann auch mit dem "Gäste WLAN" ausstatten.
Edit/Add: kann man bei den HP nicht einstellen welches Routing verwendet wird (RIP/OSPF ..)?
Nimm die IP aus dem VLAN für Gäste raus, dann kann (und will) der Switch das nicht mehr routen. Das VLAN lässt dann direkt auf die Firewall "auflaufen" und stellst den DHCP so ein, dass die Firewall oder Router das Default Gateway wird (alles nur nicht den Switch) - den DHCP kann dann auch die Firewall machen
Damit kann der HP Switch gar nicht mehr in das VLAN 3 routen und die Gäste kommen von dort aus auch nicht mehr auf die anderen VLANs, das VLAN selbst einfach über die Uplink Ports an die Endpunkte durchgeben ohne das irgendein Endgerät dort eine IP bekommt, außer der Firewall am Ende. Dann musst lediglich (sofern gewünscht) die Uplinks für die Access Points konfigurieren und kann diese dann auch mit dem "Gäste WLAN" ausstatten.
Edit/Add: kann man bei den HP nicht einstellen welches Routing verwendet wird (RIP/OSPF ..)?
...geht aber in die Hose mit der IP entfernen wenn er den Internet Router entweder im Firmen VLAN oder im Default VLAN hat, denn dann muss er zwangsweise über den Layer 3 Switch mit dem Gäste Traffic !
Die ACLs sind also schon sinnvoll wenn das der Fall sein sollte.
Allerdings gehören Internet und WAN Verbindungen niemals in ein Produktiv VLAN sondern immer ein ein separates VLAN um eben genau das zu vermeiden das Gäste Traffic über ein Produktiv- oder internes Netz geroutet werden muss !!
Das ist aber eine andere Baustelle die in diesem Zusammenhang sicher Sinn macht hat aber ursächlich mit den ACLs oben nix zu tun !
Die ACLs sind also schon sinnvoll wenn das der Fall sein sollte.
Allerdings gehören Internet und WAN Verbindungen niemals in ein Produktiv VLAN sondern immer ein ein separates VLAN um eben genau das zu vermeiden das Gäste Traffic über ein Produktiv- oder internes Netz geroutet werden muss !!
Das ist aber eine andere Baustelle die in diesem Zusammenhang sicher Sinn macht hat aber ursächlich mit den ACLs oben nix zu tun !
Hallo,
erstmal Danke für die super schnellen Antworten
Erstmal zu den ACLs:
HP scheint da in standard und extended ACLs zu unterscheiden.
Ich habe standard genommen und die bewirken nur (oder sollten bewirken) das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden.
Also bedeutet meine ACL für Vlan 1 z.B.:
20 permit 192.168.100.0 0.0.0.255 Lasse alle Pakete mit SA 192.168.100.0/24 durch
30 permit 192.168.111.0 0.0.0.255 Lasse alle Pakete mit SA 192.168.111.0/24 durch
40 deny 0.0.0.0 255.255.255.255 // Verwerfe alle anderen Pakete
Also sollte doch eigendlich das 192.168.10.0/24 Netz verworfen werden.
Und das selbe bei den anderen Netzen.
Die Idee mit dem rauslassen des IP im Gästenetz finde ich erstmal sehr gut
Das Gästenetz hat eh seinen eigenden Router/Firewall und eigende Providerleitung somit sollte das so kein Problem sein.
Ich versuch das mal so ans laufen zu bekommen.
Vielleicht gibts es ja jemanden der sich gut mit HP Switchen auskennt und mir das mit den ACL erkläten würde, da ich noch nicht genau weiss wieso das nicht laufen sollte mit meinen ACLs.
Gruß,
Osiron
erstmal Danke für die super schnellen Antworten
Erstmal zu den ACLs:
HP scheint da in standard und extended ACLs zu unterscheiden.
Ich habe standard genommen und die bewirken nur (oder sollten bewirken) das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden.
Also bedeutet meine ACL für Vlan 1 z.B.:
20 permit 192.168.100.0 0.0.0.255 Lasse alle Pakete mit SA 192.168.100.0/24 durch
30 permit 192.168.111.0 0.0.0.255 Lasse alle Pakete mit SA 192.168.111.0/24 durch
40 deny 0.0.0.0 255.255.255.255 // Verwerfe alle anderen Pakete
Also sollte doch eigendlich das 192.168.10.0/24 Netz verworfen werden.
Und das selbe bei den anderen Netzen.
Die Idee mit dem rauslassen des IP im Gästenetz finde ich erstmal sehr gut
Das Gästenetz hat eh seinen eigenden Router/Firewall und eigende Providerleitung somit sollte das so kein Problem sein.
Ich versuch das mal so ans laufen zu bekommen.
Vielleicht gibts es ja jemanden der sich gut mit HP Switchen auskennt und mir das mit den ACL erkläten würde, da ich noch nicht genau weiss wieso das nicht laufen sollte mit meinen ACLs.
Gruß,
Osiron
Äääähhh...du hast den obigen Thread nicht richtig gelesen, oder ???
...das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden (Betonung auf "Source ,Absender Adresse !)
Ja, das ist absolut richtig, keine Frage !!
Du machst hier aber vielleicht (oder ganz sicher) einen großen ACL Denkfehler !!!
Es gelten immer folgende 2 Grundlagen bei ACLs
Deine VLAN 1 ACL:
20 permit 192.168.100.0 0.0.0.255
30 permit 192.168.111.0 0.0.0.255
40 deny 0.0.0.0 255.255.255.255
steht ja am IP Interface am VLAN 1 mit dem IP Netz 192.168.100.0 /24 !
Gemäß den oben geschilderten Grundsätzen (nur inbound !) prüft sie also eingehende Pakete nach diesen Regeln auf Basis der Source Adresse !!
Also auf Deutsch hier am VLAN 1 alles was an Paketen reinkommt am VLAN 1 Interface auf Basis der Absender IP Adresse aus diesem VLAN !
Folglich muss es also richtig kommentiert so sein:
20 permit 192.168.100.0 0.0.0.255 --> Lasse alle Pakete mit SA 192.168.100.0/24 durch: Logo, alle Pakete die von hier kommen haben ja so oder so immer eine SA von .100.x im VLAN 1 und dürfen dann also überall hin !
30 permit 192.168.111.0 0.0.0.255 --> Lasse alle Pakete mit SA 192.168.111.0/24 durch: Ja, nur von hier kommt niemals was mit .111.x da das VLAN 1 ja im .100.x Netz ist (Regel also Unsinn und greift nie !)
40 deny 0.0.0.0 255.255.255.255 --> Verwerfe alle anderen Pakete: Klar, aber auch Unsinn, da alle IPs die von hier kommen immer .100.x als Absender (Source) IP haben was anderes wird also niemals kommen und alle .100.x Pakete sind durch Regel 20 schon erfüllt so das dieses Deny niemals mehr relevant ist.
Du merkst vermutlich selber wie unsinnig deine obigen ACL Regeln sind.... Eingehende Pakete (nur einzig das kann HP !) auf Basis der Absender IP zu filtern ist sinnfrei, weil sie natürlich immer passieren können da diese IP ja immer stimmt.
Genau deshalb kannst du alles weiterhin pingen trotz aktiver ACL und auch erreichen von den anderen VLANs aus !
Immer dran denken...sie gelten nur eingehend bzw. inbound ins VLAN x Interface und NICHT Ausgehend !
Ausgehende also outbound ACLs supportet Billigheimer HP bekanntlich nicht auf seinen Switches !
Fazit: Baue deine ACLs logisch um und alles wird gut....das klappt sogar bei HP ProCurve Gurken.
...das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden (Betonung auf "Source ,Absender Adresse !)
Ja, das ist absolut richtig, keine Frage !!
Du machst hier aber vielleicht (oder ganz sicher) einen großen ACL Denkfehler !!!
Es gelten immer folgende 2 Grundlagen bei ACLs
- Alle ACLs wirken nur EINGEHEND also inbound in das jeweilige VLAN x Interface !
- "First Match wins !" Also der erste Hit in der ACL bewirkt das der Rest NICHT mehr abgearbeitet wird. Reihenfolge ist also wichtig !!
Deine VLAN 1 ACL:
20 permit 192.168.100.0 0.0.0.255
30 permit 192.168.111.0 0.0.0.255
40 deny 0.0.0.0 255.255.255.255
steht ja am IP Interface am VLAN 1 mit dem IP Netz 192.168.100.0 /24 !
Gemäß den oben geschilderten Grundsätzen (nur inbound !) prüft sie also eingehende Pakete nach diesen Regeln auf Basis der Source Adresse !!
Also auf Deutsch hier am VLAN 1 alles was an Paketen reinkommt am VLAN 1 Interface auf Basis der Absender IP Adresse aus diesem VLAN !
Folglich muss es also richtig kommentiert so sein:
20 permit 192.168.100.0 0.0.0.255 --> Lasse alle Pakete mit SA 192.168.100.0/24 durch: Logo, alle Pakete die von hier kommen haben ja so oder so immer eine SA von .100.x im VLAN 1 und dürfen dann also überall hin !
30 permit 192.168.111.0 0.0.0.255 --> Lasse alle Pakete mit SA 192.168.111.0/24 durch: Ja, nur von hier kommt niemals was mit .111.x da das VLAN 1 ja im .100.x Netz ist (Regel also Unsinn und greift nie !)
40 deny 0.0.0.0 255.255.255.255 --> Verwerfe alle anderen Pakete: Klar, aber auch Unsinn, da alle IPs die von hier kommen immer .100.x als Absender (Source) IP haben was anderes wird also niemals kommen und alle .100.x Pakete sind durch Regel 20 schon erfüllt so das dieses Deny niemals mehr relevant ist.
Du merkst vermutlich selber wie unsinnig deine obigen ACL Regeln sind.... Eingehende Pakete (nur einzig das kann HP !) auf Basis der Absender IP zu filtern ist sinnfrei, weil sie natürlich immer passieren können da diese IP ja immer stimmt.
Genau deshalb kannst du alles weiterhin pingen trotz aktiver ACL und auch erreichen von den anderen VLANs aus !
Immer dran denken...sie gelten nur eingehend bzw. inbound ins VLAN x Interface und NICHT Ausgehend !
Ausgehende also outbound ACLs supportet Billigheimer HP bekanntlich nicht auf seinen Switches !
Fazit: Baue deine ACLs logisch um und alles wird gut....das klappt sogar bei HP ProCurve Gurken.
