Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco SG300 ACLs einrichten

Frage Netzwerke

Mitglied: synex-m

synex-m (Level 1) - Jetzt verbinden

11.06.2013 um 10:39 Uhr, 4563 Aufrufe, 11 Kommentare



Hallo zusammen,


Ich habe folgendes Netzwerk (nur ein Beispiel) bzw. es gibt folgende VLANs deren Zugriff reglementiert werden soll:

6deb3b257fd0c4488da0ea5e4477a929 - Klicke auf das Bild, um es zu vergrößern

Ich habe nun ACLs definiert:

VLAN2
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN3
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN4
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any any

VLAN5
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.6.0 0.0.0.255
permit any 192.168.4.6 0.0.0.0
permit any any

VLAN6
deny any 192.168.2.0 0.0.0.255
deny any 192.168.3.0 0.0.0.255
deny any 192.168.4.0 0.0.0.255
deny any 192.168.5.0 0.0.0.255
permit any any


(Da ich nur rudimentäre Kenntnisse von ACLs besitze) würde man so die Zugriffsbeschränkungen definieren? Ich habe z.B gelesen, dass es besser wäre per se erst einmal alles zu verbieten (deny any any). In dem Fall habe ich keinen Internetzugang mehr (Router ist in VLAN1).

Eine grundlegende Frage stellt sich mir auch noch. Mir ist nicht ganz klar: Kann ich nur den ausgehenden Verkehr verbieten also z.b deny any 192.168.4.0? Denn umgekehrt deny 192.168.4.0 any funktioniert nicht. Hat keine Wirkung?

Hoffe ihr könnt mir weiterhelfen und ein paar Tipps geben.

Viele Grüße
Mitglied: adminst
11.06.2013 um 11:04 Uhr
Hallo
Erstmal danke für die Übersichtliche Darstellung.
Ich frage mich wieso du nicht die ACLs über die Firewall definierst.
Dort könntest du sauber von Denny all aufarbeiten bis du alles sauber hast und könntest alles andere auch definieren...

Gruss
adminst
Bitte warten ..
Mitglied: synex-m
11.06.2013 um 11:41 Uhr
Leider habe ich keine Firewall. Die ACLs definiere ich beim Switch (Layer 3 Modus).
Bitte warten ..
Mitglied: keksdieb
11.06.2013 um 12:47 Uhr
Moin moin,

ein permit ip any any ist ansich schonmal der falsche Ansatz, da du damit jeglichen Datenverkehr erlaubst (natürlich ausgenommen der Range, die du expliziet verbietest)

Meiner Meinung wäre der bessere Ansatz die erlaubten Netze explizit festzulegen und dann ein deny any any zu machen.

kleines Beispiel:
01.
VLAN 2 
02.
permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 
03.
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 
04.
deny ip any any
wichtig ist es dann natürlich die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird.

Gruß Keks

P.S.: das deny any any am ende kannst du dir sparen, da Cisco in einer ACL am ende der Regelkette ein implizites deny any any hat.
Bitte warten ..
Mitglied: synex-m
11.06.2013 um 13:34 Uhr
Danke für deine Antwort.
Hatte bereits versucht die ACLs so zu definieren, wie du es beschreibst. In dem Fall kann ich allerdings keine Webseiten mehr aus den VLANs 2,3,4,5,6 erreichen :S

Eventuell ist das der springende Punkt: "die ACL ans Interface zu binden und zwar so, dass das Datenpaket vor der dem Switchprozess erlaubt oder verworfen wird"? Nur weiß ich nicht, wie ich das erreichen kann?
Bitte warten ..
Mitglied: keksdieb
11.06.2013, aktualisiert um 15:03 Uhr
Auf dem Interface Vlan 2 sollte ein "access-group ACL-Name in" reichen.

Will jetzt das Datenpaket von Vlan 2 ins Vlan X, passiert es als erstes die ACL und wird danach erst ins Netzwerk weiter gegeben.
Das du Webseiten in allen anderen Vlans aufrufen möchtest stand aber nicht in deiner Frage, oder?

Gruß Keks
Bitte warten ..
Mitglied: synex-m
11.06.2013 um 15:34 Uhr
Indirekt. Also die VLANs 2,3,4,5,6 sollen schon einen Internetzugang über den Router, der sich in VLAN1 befindet, bekommen. Nur wenn ich alles blockiere und nur 192.168.1.0 freigebe reicht das anscheinend nicht, um jedem VLAN Zugang zu gewähren.

Vielleicht noch zum Aufbau des Netzes: Der Switch (im Layer 3 Modus) befindet sich hinter dem Router (0815 Router, FritzBox). Auf dem Router sind Routen in die entsprechenden Subnetze eingetragen. Interfaces und VLANs sind am Switch eingetragen. Dort definiere ich auch die ACLs.
Bitte warten ..
Mitglied: aqui
11.06.2013 um 17:54 Uhr
Bei den ACLs gilt immer "First Match wins" !
Das heist die erste Bedingung die stimmt bewirkt das die nachfolgenden nicht mehr abgearbeitet werden.
D.h. die Reihenfolge in den Listen ist also essentiell wichtig.
Wenn du Produktivtraffic in VLAN 1 hast ist es besser den Internet Zugang in einseparates VLAB auszulagern, damit trennst du den dann komplett von Produktiv VLANs und vereinfachts die ACL Logik.

Wenn du in deinem Szenario also Internet haben willst in den VLANs 2,3,4,5 und 6 dann musst du die DENY Statements zuerst eingeben die den Internen Zugriff regeln.
Bei VLAN 2 z.B: das nicht auf 4,5 und 6 zugreifen soll aber Intrernet Zugang haben soll sähe das beispielhaft so aus:
deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0.255
deny 192.168.2.0 0.0.0.255 192.168.6.0 0.0.0.255
permit any any
Achtung das gilt für eine Inbound ACL also eingehend
Generell supporten Billigswitches meist nur Inbound ACL und keine Outbound ACLs.
Das musst du im Ciso Handbuch sicher klären.
An das Layer 3 Interface int vlan x bindest du diese ACL dann mit dem Kommando ip access-group xy in als incoming ACL ("out" dann entsprechend outbound wenn der Switch das kann)
Die Syntax ist jetzt Catalyst IOS Syntax der großen Brüder vom SG Billigsegement, dürfte aber identisch sein !
Bitte warten ..
Mitglied: synex-m
11.06.2013 um 19:06 Uhr
@ aqui
Wenn ich dich jetzt richtig verstehe, kann ich die Regeln also so verwenden, wie ich Sie oben habe?? Die Regel für VLAN2 entspricht ja (fast) meiner obigen.

Okay..Im Cisco Forum habe ich jetzt einen Beitrag gefunden in dem steht: "Correct, there is not an inside or outside, the ACL is applied ingress only" (bezieht sich auf den SG300). Also gibt es nur eingehend.
Liest sich eine Regel dann so: Verbiete eingehenden Traffic nach 192.168.2.0 von 192.168.4.0 ?
Bitte warten ..
Mitglied: keksdieb
12.06.2013 um 11:23 Uhr
Moin Synex,

der Switch kann somit nur inside ACL´s abarbeiten.

Halte dich bei der Konfiguration an das Beispiel von aqui, bei deinen Regeln fehlt das Sourcenetz...

Die Regel ließt sich dann so:
Verbiete eingehenden Traffic von 192.168.2.0 nach 192.168.4.0

Das Paket kommt am Port an, es ist also ein "incoming Paket"

Auf der Cisco Seite ist es eigentlich gut verständlich erklärt:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_not ...

gruß Keksdieb
Bitte warten ..
Mitglied: aqui
12.06.2013, aktualisiert um 15:27 Uhr
.@synex
Das war zu erwarten...wie gesagt bei Billigkomponenten immer nur ingress.
Die ACL Syntax liest sich dann am Beispiel:
//deny 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255/
so:
Verbiete Pakete mit der Absender IP 192.168.2.egal zur Ziel IP 192.168.4.egal
Also "Blocke alles was vom .2er Netz ins .4er Netz will " !
Es kommt immer erst die Source IP dann die Destination IP in einer ACL.

Damit solltest du das ja nun wasserdicht hinbekommen ?!
Bitte warten ..
Mitglied: synex-m
12.06.2013 um 15:48 Uhr
Alles klar.
Vielen Dank allen, die mir Tipps gegeben haben!!!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Cisco SG300 Startschleife (13)

Frage von DieOmer zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Cisco SG300 - Kein Routing ins VLAN (4)

Frage von Fluxx1337 zum Thema Router & Routing ...

Router & Routing
gelöst Cisco SG300-10: VLAN und Routing (4)

Frage von niko123 zum Thema Router & Routing ...

LAN, WAN, Wireless
System Meldungen und SNMP Traps verspätet auf Cisco SG300-20 (5)

Frage von fiech93 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...