Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Routing Problem wegen ACL HP Procurve 3500yl

Frage Netzwerke Router & Routing

Mitglied: haurg1

haurg1 (Level 1) - Jetzt verbinden

21.06.2012, aktualisiert 17.09.2015, 4028 Aufrufe, 6 Kommentare

Hallo,

ich habe bei diesem Router das Routing aktiviert und über ACL die Verbindungen beschränkt.

Ich habe ein Problem mit der ACL 103 und dem VLAN 30

Der Ping unter CLienten im VLAN 30 funktioniert auch in den IP-Adress Bereich 192.168.10.0 und 192.168.20.0 funktioniert.

Jedoch kann ich den Router nicht mehr unter 192.168.30.254 erreichen.
Sofern ich aber "permit ip 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255" einrichte ist er wieder erreichbar. Muss ich dies setzen?

Welche Einstellungen beschränken den zugriff?


Besten Dank vorab.

Im folgenden noch die Konfiguration:


; J9310A Configuration Editor; Created on release #K.15.07.0008
; Ver #02:1b.2f:36

hostname "HP-E3500yl-24G-PoEP"
ip access-list extended "102"
exit
ip access-list extended "103"
10 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
30 permit ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
40 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
exit
ip access-list extended "104"
exit
ip access-list extended "105"
exit
ip access-list extended "106"
10 permit ip 192.168.60.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.60.0 0.0.0.255
exit
ip access-list extended "107"
exit
ip access-list extended "101"
10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.10.0 0.0.0.255 192.168.30.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.20.0 0.0.0.255 192.168.10.0 0.0.0.255
50 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255
60 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
ip access-list extended "110"
10 permit ip 192.168.100.0 0.0.0.255 192.168.20.0 0.0.0.255
20 permit ip 192.168.20.0 0.0.0.255 192.168.100.0 0.0.0.255
30 permit ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
40 permit ip 192.168.100.0 0.0.0.255 192.168.10.0 0.0.0.255
exit
module 1 type J93xxA
interface 1
no power-over-ethernet
exit
interface 2
no power-over-ethernet
exit
interface 3
power-over-ethernet critical
exit
interface 4
no power-over-ethernet
exit
interface 5
no power-over-ethernet
exit
interface 6
no power-over-ethernet
exit
interface 7
no power-over-ethernet
exit
interface 8
no power-over-ethernet
exit
interface 9
no power-over-ethernet
exit
interface 10
no power-over-ethernet
exit
interface 11
no power-over-ethernet
exit
interface 12
no power-over-ethernet
exit
interface 13
no power-over-ethernet
exit
interface 14
no power-over-ethernet
exit
interface 15
no power-over-ethernet
exit
interface 16
no power-over-ethernet
exit
interface 17
no power-over-ethernet
exit
interface 18
no power-over-ethernet
exit
interface 19
no power-over-ethernet
exit
interface 20
no power-over-ethernet
exit
interface 21
no power-over-ethernet
exit
interface 22
no power-over-ethernet
exit
interface 23
no power-over-ethernet
exit
interface 24
no power-over-ethernet
exit
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 4-9,12-18,20-22,24
ip address 192.168.0.43 255.255.255.0
no untagged 1-3,10-11,19,23
exit
vlan 10
name "Network_defa"
untagged 2-3,19
ip helper-address 192.168.20.3
ip address 192.168.10.254 255.255.255.0
tagged 23
exit
vlan 20
name "Server"
untagged 1
ip address 192.168.20.254 255.255.255.0
tagged 23
exit
vlan 30
name "Office"
untagged 11
ip helper-address 192.168.20.3
ip address 192.168.30.254 255.255.255.0
tagged 23
ip access-group "103" in
ip access-group "103" out
exit
vlan 50
name "Machines"
ip helper-address 192.168.20.3
ip address 192.168.50.254 255.255.255.0
tagged 23
exit
vlan 60
name "Printer"
ip helper-address 192.168.20.3
ip address 192.168.60.254 255.255.255.0
tagged 3,23
ip access-group "106" in
ip access-group "106" out
exit
vlan 70
name "MGMT"
ip address 192.168.70.254 255.255.255.0
tagged 23
exit
vlan 100
name "Gast"
untagged 10
ip helper-address 192.168.20.3
ip address 192.168.100.254 255.255.255.0
tagged 3
ip access-group "110" in
ip access-group "110" out
exit
power-over-ethernet pre-std-detect
ip route 0.0.0.0 0.0.0.0 192.168.10.1
ip route 0.0.0.0 0.0.0.0 192.168.10.2
interface 1
lacp key 500
exit
interface 2
lacp key 500
exit
snmp-server community "public" unrestricted
primary-vlan 10
no autorun
no dhcp config-file-update
no dhcp image-file-update
password manager
password operator

Mitglied: aqui
21.06.2012, aktualisiert um 12:50 Uhr
Ist vermutlich ein typischer HP Bug der das ACL Processing VOR dem VLAN Interface Forwarding macht. Leider nicht unüblich bei billigen L3 Switches. Es mag aber auch sein das es an deiner etwas "ungewöhnliche" Auffassung von ACL Design liegt. In der Regel wird eine outbound ACL niemals mit einer inbound ACL zusammengelegt in eine ACL. Kein Netzwerk macht sowas.... eigentlich ! Das isd immer getrennte ACLs !
Daher ist dann der etwas sinnlose ACL Einträg nötig. Du kannst ihn aber etwas abmildern indem du NUR die Host IP zulässt:
"permit ip 192.168.30.0 0.0.0.255 host 192.168.30.254"
Oder indem du die Kommunikation mit dem Router Interface nur auf ICMP beschränkst:
"permit icmp 192.168.30.0 0.0.0.255 host 192.168.30.254"
oder
"permit icmp 192.168.30.0 0.0.0.255 192.168.30.0 0.0.0.255"
Je nachdem ob die HP Gurke ICMP filtern kann...sollte sie aber.
Bitte warten ..
Mitglied: brammer
21.06.2012 um 13:56 Uhr
Hallo,

neben den Infos von aqui noch einen weiteren Hinweis.
Am Ende jeder ACL steht ein sogenanntes "implicite deny"
Das heißt alles was nicht erlaubt ist, ist verboten.
Deswegen geht das auch nicht wenn du die PERMIT ACL rausnimmst.

brammer
Bitte warten ..
Mitglied: haurg1
21.06.2012, aktualisiert um 23:47 Uhr
Danke für eure Antworten.

Das mit dem implicite deny ist mir bekannt, jedoch die interne VLAN Weiterleitung sollte doch davon nicht betroffen sein.

@aqui: Ja, ich bin noch unerfahren in dem Bereich routing. Deswegen habe ich mich ja auch an euch gewendet, um von euch zu lernen!

1.) Also soll ich für jedes VLAN eine INbound und eine OUTbound ACL definieren?

Kurz noch zu meinem Verständnis, damit wir nicht aneinander vorbeireden.

2.) Bei einer INbound ACL werden die Pakete abgelehnt, die von außen auf dieses VLAN eintreffen.
Und bei einer OUTbound ACL werden die Pakete blockiert, die nicht rausgehen sollen/ dürfen, oder?

Beste Grüße und Danke für eure Hilfe!
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.06.2012, aktualisiert 17.09.2015
1.) Ja, das macht man in der Regel so.... Grund ist das die Reihenfolge der ACL Statements wichtig ist (First Match wins..!)
2.) Inbound ist immer was vom LAN IN den Switch also das L3 Interface des Switches reingeht.
Outbound ist wenn es VOM L3 Interface auf das LAN Segment rausgeht.
Bitte warten ..
Mitglied: haurg1
23.06.2012 um 11:08 Uhr
Danke aqui für deine hilfreiche antwort.

Ich habe mich zu dem Thema ein bisschen weitergebildet und bin in diversen Foren darauf gestoßen, dass die Inbound ACL performanter wären als die Outbound ACL, da bei Inbound ACLs die Pakete einfach abgelehnt werden, wohingegen bei Outbound die Pakete erst vom Switch verarbeitet werden müssen.

Sollte ich also lediglich INbound ACLs verwenden und auf Outbound verzichten?

Beste Grüße
Bitte warten ..
Mitglied: aqui
23.06.2012 um 16:30 Uhr
Das ist oft so bei Billigswitches wie HP das inbound in Hardware gefiltert wird (Asic) und outbound ACLs immer CPU switched also von der Switch CPU verarbeitet werden müssen.
Generell macht es da natürlich Sinn nur inbound zu verwenden wenn man performant bleiben will.
Kommt aber darauf an wenn bei dir im Netz wenig los ist (Auslastung der Filterlinks) und du auf Outbound angewiesen bist, dann kann man durchaus damit leben.
Du kennst dein Netzwerk besser als wir hier im Forum ! Deine Entscheidung logischerweise.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Procurve VLAN und Routing (3)

Frage von Fisch2005 zum Thema LAN, WAN, Wireless ...

Switche und Hubs
gelöst HP Procurve Switch 2650 J4899B Hängt, keine Verbindung möglich (7)

Frage von duke1212 zum Thema Switche und Hubs ...

Router & Routing
gelöst VPN- Routing - Problem - Netzwer 1 kommt auf 2 aber anders herum nicht (8)

Frage von itschloegl zum Thema Router & Routing ...

Netzwerke
Integration eines fremden Netzwerks (Routing-Problem) (63)

Frage von Brian85 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...