Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Routen zwischen den VLANs verhindern - ACL

Mitglied: Maik82

Maik82 (Level 1) - Jetzt verbinden

16.02.2017 um 20:10 Uhr, 642 Aufrufe, 11 Kommentare

Guten Tag,

SWITCH Cisco SG300 /28
wie müsste eine ACL aussehen wenn ich 4 VLANS habe

VLAN 100 - 192.168.178.0 /24 Internet
VLAN 101 - 192.168.101.0 /24
VLAN 102 - 192.168.102.0 /24
VLAN 103 - 192.168.103.0 /24

VLAN 101-103 sollen sich untereinander nicht sehen
VLAN 101-103 sollen aber nach 100 um ins in Internet zu kommen

Das Netz soll später erweitert werden also würde ich es gerne so haben das alles erstmal verhindert wird und dann das VLAN 100 zulassen.

Das ganze wird aber für das Webinterface benötigt. Konsole liegt mir nicht so.

bildschirmfoto 2017-02-16 um 20.07.49 - Klicke auf das Bild, um es zu vergrößern
Mitglied: em-pie
16.02.2017 um 20:42 Uhr
Moin,

schau mal hier:
http://sbkb.cisco.com/CiscoSB/GetArticle.aspx?docid=865924b7d74b4a178d6 ...

und auch hier:
https://www.administrator.de/frage/cisco-sg300-acls-einrichten-207807.ht ...

Denke, das sollte helfen.

Und daran denken:
Bei den Regeln ist es immer so: First-Match Wins. Hat aqui aber auch in dem zweiten link erklärt.
Und die dortigen CLI-Befehle sind eigentlich auch ziemlich easy definiert

Gruß
em-pie
Bitte warten ..
Mitglied: Maik82
16.02.2017 um 21:26 Uhr
Das hat schonmal zur Lösung beigetragen.

nun habe ich als test

Quelle VLAN 102 Ziel VLAN 101 verbieten Rest erlauben.
Das funktioniert soweit. ich komme nicht auf VLAN 1 aber ich komme nach VLAN 100 und damit ins internet (SUPER)

mit mehreren VLAN´s sehr aufwendig

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten

Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.
Bitte warten ..
Mitglied: em-pie
16.02.2017 um 21:36 Uhr
Ich stecke (noch) nicht tief genug in der Materie, aber ich vermute vorsichtig, dass das Paket nun nicht mehr zurück darf, da du ja gesagt hast, dass nur von 102 ins 100 darf, rest verboten. Folglich darf dann aber nichts von 100 in die 102.

Das einzige, was jetzt meiner Theorie widerspricht: du kannst deinen Router am Internet-Anschluss anpingen und bekommst auch eine Antwort...
Bitte warten ..
Mitglied: Maik82
16.02.2017, aktualisiert um 22:09 Uhr
ist schon verrückt ich bekomme ja von der Schnittstelle VLAN100 also die 192.168.178.2 und vom Router 192.168.178.1 antworten durch den ping.

Oder kommt jetzt dadurch keine öffentliche IP mehr rein?

Kann man das mit einer ACL umgehen ?
Bitte warten ..
Mitglied: em-pie
16.02.2017 um 22:13 Uhr
D.h. du hast den Ping vom Switch ausgelöst, aber den WWW-Traffic von einem Endgerät im VLAN 102?

Je nachdem wie die Engines im Switch arbeiten, könnte das die Erklärung für dein "Phänomen" sein.
Hier sollte @aqui dir mehr zu sagen können....

Aber teste doch mal, ob du mit einer IP aus dem VLAN102 auch den Router pingen kannst, also über ein Endgerät, nicht vom Switch aus...
Bitte warten ..
Mitglied: Philipp711
16.02.2017, aktualisiert um 22:25 Uhr
Zitat von Maik82:

nun dachte ich mir ich drehe den Spieß um damit ich nicht so viel ACL´s machen muss

Quelle VLAN 102 Ziel VLAN 100 erlauben Rest verbieten
Ich komme nicht mehr in VLAN 101 schonmal gut.
Ich kann die Schnittstelle VLAN 100 also die 192.168.178.1 auch pingen aber das Internet geht nicht.

Du hast dir die Antwort selbst gegeben. Der Internet-Traffic funktioniert nicht, weil du ja alles außer 192.168.178.0/24 verboten hast. Damit verbietest du auch Ziel-IP-Adressen aus dem öffentlichen Bereich!

Du hast somit quasi alle Netze und Adressen bis auf das Subnetz 192.168.178.9/24 verboten!

Z.B. Die öffentliche Adresse 8.8.8.8 (Google-DNS) fällt auch unter "Rest" - somit ist das nach deinem regelset verboten!
Bitte warten ..
Mitglied: Maik82
16.02.2017 um 22:29 Uhr
Ach verrammt ich habe es geahnt.

Also gibt es keine andere Lösung als die bestimmten vlans verbieten und Rest erlauben?!

Da hätte ich mir ne menge ACL's ersparen können.
Bitte warten ..
Mitglied: Valexus
LÖSUNG 17.02.2017, aktualisiert um 07:03 Uhr
Moin,

Was ist denn hier das Problem?

Du erstellst für jedes VLAN eine ACL und setzt folgende Einträge:

VLAN101:
  • deny ip 192.168.101.0 /24 192.168.102.0 /24
  • deny ip 192.168.101.0 /24 192.168.103.0 /24
  • permit ip any any

VLAN102:
  • deny ip 192.168.102.0 /24 192.168.101.0 /24
  • deny IP 192.168.102.0 /24 192.168.103.0 /24
  • permit IP any any

VLAN103:
  • deny ip 192.168.103.0 /24 192.168.101.0 /24
  • deny IP 192.168.103.0 /24 192.168.102.0 /24
  • permit IP any any

Diese ACLs ordnest du dann einfach deinen VLANs zu.
Es sind immernoch Switch ACLs welche nicht wie eine Firewall stateful arbeiten sondern immer nur die Pakete in eine Richtung filtern. Dafür funktioniert das hier aber in Wirespeed.

Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

VG
Val
Bitte warten ..
Mitglied: em-pie
LÖSUNG 17.02.2017 um 08:48 Uhr
Zitat von Valexus:
Edit:
Alternativ kannst du bei den SGs auch einstellen was die Default Action (drop oder permit) am Ende der ACL sein soll.
Wenn du da dein Transfernetz zum Router auf eine andere Ränge z.B. 10.10.178.0/30 legst brauchst du für jedes VLAN nur eine Zeile ACL schreiben:
  • deny ip 192.168.101.0/24 192.168.0.0/16
  • permit ip any any (default action)

Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
01.
deny ip 192.168.101.0/24 192.168.0.0/17 
02.
permit ip any any (default action)
Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...
Bitte warten ..
Mitglied: Maik82
17.02.2017 um 13:33 Uhr
Besten Dank.
Bitte warten ..
Mitglied: Maik82
18.02.2017 um 13:58 Uhr
Du müsstest die IP des Internet-Netzes nicht zwingend ändern. Wenn du die jeweilige ACL auf die folgende abänderst, gilt das für alle IPs zwischen 192.168.0.1 und 192.168.127.254
01.
> deny ip 192.168.101.0/24 192.168.0.0/17 
02.
> permit ip any any (default action) 
03.
> 
Solltest du also zukünftig weitere VLANs kreiren, musst du immer unterhalb von 192.168.128.0 bleiben...

klappt wunderbar.

Eine Frage noch dazu:

die Clients sind untereinander nicht mehr Ping bar
Aber ist es normal das die Schnittstelle am Switch bei mir also immer die x.x.x.254 zu pingen gehen?
Bitte warten ..
Ähnliche Inhalte
Router & Routing
ACL Konfiguration HP1920 mit VLANs
gelöst Frage von markuswoRouter & Routing9 Kommentare

Hallo Community, nach langsamen ersten Erfolgen mit ACL's auf einem HP 1920 stellt sich mir dann doch eine Frage. ...

LAN, WAN, Wireless
Cisco Netzwerk Asistent VLAN ACL Anlegen
gelöst Frage von Herbrich19LAN, WAN, Wireless50 Kommentare

Hallo, Ich habe ein Cisco Catalyst 3550 Switch. Ich möchte auf diesen nun eine ACL Anlegen die in VLAN ...

Switche und Hubs
SG300 mit VLAN für DMZ - ACL und Routing Probleme
Frage von droehnSwitche und Hubs3 Kommentare

Tach! als Ersatz für zwei unmanaged Switches habe ich einen Cisco SG300-28 mit neuster Firmware (1.4.1.3) im Layer-3 Modus ...

LAN, WAN, Wireless
VLAN zwischen Routern und Firewall
gelöst Frage von Seoxx1LAN, WAN, Wireless9 Kommentare

Hallo, wir haben von unserem ISP einen Hauptrouter und einen Backuprouter. Dazu noch zwei /29er Netzte. Als Beispiel: Netzadresse: ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 18 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...