Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routen zwischen den VLANs verhindern - ACL

Frage Netzwerke Router & Routing

Mitglied: Maik82

Maik82 (Level 1) - Jetzt verbinden

16.02.2017 um 20:10 Uhr, 376 Aufrufe, 11 Kommentare

Guten Tag,

SWITCH Cisco SG300 /28
wie müsste eine ACL aussehen wenn ich 4 VLANS habe

VLAN 100 - 192.168.178.0 /24 Internet
VLAN 101 - 192.168.101.0 /24
VLAN 102 - 192.168.102.0 /24
VLAN 103 - 192.168.103.0 /24

VLAN 101-103 sollen sich untereinander nicht sehen
VLAN 101-103 sollen aber nach 100 um ins in Internet zu kommen

Das Netz soll später erweitert werden also würde ich es gerne so haben das alles erstmal verhindert wird und dann das VLAN 100 zulassen.

Das ganze wird aber für das Webinterface benötigt. Konsole liegt mir nicht so.

bildschirmfoto 2017-02-16 um 20.07.49 - Klicke auf das Bild, um es zu vergrößern
Mitglied: em-pie
16.02.2017 um 20:42 Uhr
Moin,

schau mal hier:
http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...

und auch hier:
https://www.administrator.de/frage/cisco-sg300-acls-einrichten-207807.ht ...

Denke, das sollte helfen.

Und daran denken:
Bei den Regeln ist es immer so: First-Match Wins. Hat aqui aber auch in dem zweiten link erklärt.
Und die dortigen CLI-Befehle sind eigentlich auch ziemlich easy definiert

Gruß
em-pie
Bitte warten ..
Mitglied: Maik82
16.02.2017 um 21:26 Uhr
Das hat schonmal zur Lösung beigetragen.

nun habe ich als test

Quelle VLAN 102 Ziel VLAN 101 verbieten Rest erlauben.
Das funktioniert soweit. ich komme nicht auf VLAN 1 aber ich komme nach VLAN 100 und damit ins internet (SUPER)

mit mehreren VLAN´s sehr aufwendig

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten

Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.
Bitte warten ..
Mitglied: em-pie
16.02.2017 um 21:36 Uhr
Ich stecke (noch) nicht tief genug in der Materie, aber ich vermute vorsichtig, dass das Paket nun nicht mehr zurück darf, da du ja gesagt hast, dass nur von 102 ins 100 darf, rest verboten. Folglich darf dann aber nichts von 100 in die 102.

Das einzige, was jetzt meiner Theorie widerspricht: du kannst deinen Router am Internet-Anschluss anpingen und bekommst auch eine Antwort...
Bitte warten ..
Mitglied: Maik82
16.02.2017, aktualisiert um 22:09 Uhr
ist schon verrückt ich bekomme ja von der Schnittstelle VLAN100 also die 192.168.178.2 und vom Router 192.168.178.1 antworten durch den ping.

Oder kommt jetzt dadurch keine öffentliche IP mehr rein?

Kann man das mit einer ACL umgehen ?
Bitte warten ..
Mitglied: em-pie
16.02.2017 um 22:13 Uhr
D.h. du hast den Ping vom Switch ausgelöst, aber den WWW-Traffic von einem Endgerät im VLAN 102?

Je nachdem wie die Engines im Switch arbeiten, könnte das die Erklärung für dein "Phänomen" sein.
Hier sollte @aqui dir mehr zu sagen können....

Aber teste doch mal, ob du mit einer IP aus dem VLAN102 auch den Router pingen kannst, also über ein Endgerät, nicht vom Switch aus...
Bitte warten ..
Mitglied: Philipp711
16.02.2017, aktualisiert um 22:25 Uhr
Zitat von Maik82:

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten
Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.

Du hast dir die Antwort selbst gegeben. Der Internet-Traffic funktioniert nicht, weil du ja alles außer 192.168.178.0/24 verboten hast. Damit verbietest du auch Ziel-IP-Adressen aus dem öffentlichen Bereich!

Du hast somit quasi alle Netze und Adressen bis auf das Subnetz 192.168.178.9/24 verboten!

Z.B. Die öffentliche Adresse 8.8.8.8 (Google-DNS) fällt auch unter "Rest" - somit ist das nach deinem regelset verboten!
Bitte warten ..
Mitglied: Maik82
16.02.2017 um 22:29 Uhr
Ach verrammt ich habe es geahnt.

Also gibt es keine andere Lösung als die bestimmten vlans verbieten und Rest erlauben?!

Da hätte ich mir ne menge ACL's ersparen können.
Bitte warten ..
Mitglied: Valexus
LÖSUNG 17.02.2017, aktualisiert um 07:03 Uhr
Moin,

Was ist denn hier das Problem?

Du erstellst für jedes VLAN eine ACL und setzt folgende Einträge:

VLAN101:
  • deny ip 192.168.101.0 /24 192.168.102.0 /24
  • deny ip 192.168.101.0 /24 192.168.103.0 /24
  • permit ip any any

VLAN102:
  • deny ip 192.168.102.0 /24 192.168.101.0 /24
  • deny IP 192.168.102.0 /24 192.168.103.0 /24
  • permit IP any any

VLAN103:
  • deny ip 192.168.103.0 /24 192.168.101.0 /24
  • deny IP 192.168.103.0 /24 192.168.102.0 /24
  • permit IP any any

Diese ACLs ordnest du dann einfach deinen VLANs zu.
Es sind immernoch Switch ACLs welche nicht wie eine Firewall stateful arbeiten sondern immer nur die Pakete in eine Richtung filtern. Dafür funktioniert das hier aber in Wirespeed.

Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

VG
Val
Bitte warten ..
Mitglied: em-pie
LÖSUNG 17.02.2017 um 08:48 Uhr
Zitat von Valexus:
Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
01.
deny ip 192.168.101.0/24 192.168.0.0/17 
02.
permit ip any any (default action)
Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...
Bitte warten ..
Mitglied: Maik82
17.02.2017 um 13:33 Uhr
Besten Dank.
Bitte warten ..
Mitglied: Maik82
18.02.2017 um 13:58 Uhr
Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
01.
> deny ip 192.168.101.0/24 192.168.0.0/17 
02.
> permit ip any any (default action) 
03.
> 
Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...

klappt wunderbar.

Eine Frage noch dazu:

die Clients sind untereinander nicht mehr Ping bar
Aber ist es normal das die Schnittstelle am Switch bei mir also immer die x.x.x.254 zu pingen gehen?
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Richtiges Routing zwischen VLANs (5)

Frage von Kolnak zum Thema Netzwerkmanagement ...

Switche und Hubs
gelöst Brücke zwischen zwei VLANS finden (9)

Frage von D1Ck3n zum Thema Switche und Hubs ...

Router & Routing
VLANs über verschiedene MPLS-Leitungen routen (3)

Frage von Tomschaf91 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Statische Routen mit Shorewall, ISC-DHCP Server konfigurieren für Android Devices (24)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit Shorewall, ISC-DHCP Server konfigurieren für Android Devices (24)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Windows Server
Exchange HyperV Prozessorlast (18)

Frage von theoberlin zum Thema Windows Server ...

Hardware
16-20 Port POE Switch mit VLAN (18)

Frage von thomasreischer zum Thema Hardware ...