maik82
Goto Top

Routen zwischen den VLANs verhindern - ACL

Guten Tag,

SWITCH Cisco SG300 /28
wie müsste eine ACL aussehen wenn ich 4 VLANS habe

VLAN 100 - 192.168.178.0 /24 Internet
VLAN 101 - 192.168.101.0 /24
VLAN 102 - 192.168.102.0 /24
VLAN 103 - 192.168.103.0 /24

VLAN 101-103 sollen sich untereinander nicht sehen
VLAN 101-103 sollen aber nach 100 um ins in Internet zu kommen

Das Netz soll später erweitert werden also würde ich es gerne so haben das alles erstmal verhindert wird und dann das VLAN 100 zulassen.

Das ganze wird aber für das Webinterface benötigt. Konsole liegt mir nicht so.
bildschirmfoto 2017-02-16 um 20.07.49

Content-Key: 329656

Url: https://administrator.de/contentid/329656

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: em-pie
em-pie 16.02.2017 um 20:42:10 Uhr
Goto Top
Moin,

schau mal hier:
http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...

und auch hier:
Cisco SG300 ACLs einrichten

Denke, das sollte helfen.

Und daran denken:
Bei den Regeln ist es immer so: First-Match Wins. Hat aqui aber auch in dem zweiten link erklärt.
Und die dortigen CLI-Befehle sind eigentlich auch ziemlich easy definiert face-smile

Gruß
em-pie
Mitglied: Maik82
Maik82 16.02.2017 um 21:26:40 Uhr
Goto Top
Das hat schonmal zur Lösung beigetragen.

nun habe ich als test

Quelle VLAN 102 Ziel VLAN 101 verbieten Rest erlauben.
Das funktioniert soweit. ich komme nicht auf VLAN 1 aber ich komme nach VLAN 100 und damit ins internet (SUPER)

mit mehreren VLAN´s sehr aufwendig

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten

Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.
Mitglied: em-pie
em-pie 16.02.2017 um 21:36:21 Uhr
Goto Top
Ich stecke (noch) nicht tief genug in der Materie, aber ich vermute vorsichtig, dass das Paket nun nicht mehr zurück darf, da du ja gesagt hast, dass nur von 102 ins 100 darf, rest verboten. Folglich darf dann aber nichts von 100 in die 102.

Das einzige, was jetzt meiner Theorie widerspricht: du kannst deinen Router am Internet-Anschluss anpingen und bekommst auch eine Antwort...
Mitglied: Maik82
Maik82 16.02.2017 aktualisiert um 22:09:05 Uhr
Goto Top
ist schon verrückt ich bekomme ja von der Schnittstelle VLAN100 also die 192.168.178.2 und vom Router 192.168.178.1 antworten durch den ping.

Oder kommt jetzt dadurch keine öffentliche IP mehr rein?

Kann man das mit einer ACL umgehen ?
Mitglied: em-pie
em-pie 16.02.2017 um 22:13:21 Uhr
Goto Top
D.h. du hast den Ping vom Switch ausgelöst, aber den WWW-Traffic von einem Endgerät im VLAN 102?

Je nachdem wie die Engines im Switch arbeiten, könnte das die Erklärung für dein "Phänomen" sein.
Hier sollte @aqui dir mehr zu sagen können....

Aber teste doch mal, ob du mit einer IP aus dem VLAN102 auch den Router pingen kannst, also über ein Endgerät, nicht vom Switch aus...
Mitglied: Philipp711
Philipp711 16.02.2017 aktualisiert um 22:25:37 Uhr
Goto Top
Zitat von @Maik82:

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten

Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.

Du hast dir die Antwort selbst gegeben. Der Internet-Traffic funktioniert nicht, weil du ja alles außer 192.168.178.0/24 verboten hast. Damit verbietest du auch Ziel-IP-Adressen aus dem öffentlichen Bereich!

Du hast somit quasi alle Netze und Adressen bis auf das Subnetz 192.168.178.9/24 verboten!

Z.B. Die öffentliche Adresse 8.8.8.8 (Google-DNS) fällt auch unter "Rest" - somit ist das nach deinem regelset verboten!
Mitglied: Maik82
Maik82 16.02.2017 um 22:29:29 Uhr
Goto Top
Ach verrammt ich habe es geahnt.

Also gibt es keine andere Lösung als die bestimmten vlans verbieten und Rest erlauben?!

Da hätte ich mir ne menge ACL's ersparen können.
Mitglied: 119944
Lösung 119944 17.02.2017 aktualisiert um 07:03:20 Uhr
Goto Top
Moin,

Was ist denn hier das Problem?

Du erstellst für jedes VLAN eine ACL und setzt folgende Einträge:

VLAN101:
  • deny ip 192.168.101.0 /24 192.168.102.0 /24
  • deny ip 192.168.101.0 /24 192.168.103.0 /24
  • permit ip any any

VLAN102:
  • deny ip 192.168.102.0 /24 192.168.101.0 /24
  • deny IP 192.168.102.0 /24 192.168.103.0 /24
  • permit IP any any

VLAN103:
  • deny ip 192.168.103.0 /24 192.168.101.0 /24
  • deny IP 192.168.103.0 /24 192.168.102.0 /24
  • permit IP any any

Diese ACLs ordnest du dann einfach deinen VLANs zu.
Es sind immernoch Switch ACLs welche nicht wie eine Firewall stateful arbeiten sondern immer nur die Pakete in eine Richtung filtern. Dafür funktioniert das hier aber in Wirespeed.

Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

VG
Val
Mitglied: em-pie
Lösung em-pie 17.02.2017 um 08:48:06 Uhr
Goto Top
Zitat von @119944:
Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
deny ip 192.168.101.0/24 192.168.0.0/17
permit ip any any (default action)

Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...
Mitglied: Maik82
Maik82 17.02.2017 um 13:33:52 Uhr
Goto Top
Besten Dank.
Mitglied: Maik82
Maik82 18.02.2017 um 13:58:59 Uhr
Goto Top
Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
> deny ip 192.168.101.0/24 192.168.0.0/17
> permit ip any any (default action)
> 

Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...

klappt wunderbar.

Eine Frage noch dazu:

die Clients sind untereinander nicht mehr Ping bar face-smile
Aber ist es normal das die Schnittstelle am Switch bei mir also immer die x.x.x.254 zu pingen gehen?