Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Routing HP Procurve 3500yl

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Osiron

Osiron (Level 1) - Jetzt verbinden

23.03.2012 um 14:17 Uhr, 6739 Aufrufe, 6 Kommentare

Hallo Administrator Forum,
ich habe eine Frage zum Thema VLAN Routing auf dem HP Procurve 3500yl. Vielleicht kann mir jemand dabei weiterhelfen.

Zu aller erst hier einmal meine aktuelle Konfig:

01.
ProCurve Switch 3500yl-48G# show running-config 
02.
 
03.
Running configuration: 
04.
 
05.
; J8693A Configuration Editor; Created on release #K.15.03.0007 
06.
 
07.
hostname "ProCurve Switch 3500yl-48G" 
08.
ip access-list standard "acl_vlan_1" 
09.
   20 permit 192.168.100.0 0.0.0.255 
10.
   30 permit 192.168.111.0 0.0.0.255 
11.
   40 deny 0.0.0.0 255.255.255.255 
12.
   exit 
13.
ip access-list standard "acl_vlan_3" 
14.
   10 permit 192.168.10.0 0.0.0.255 
15.
   20 deny 0.0.0.0 255.255.255.255 
16.
   exit 
17.
ip access-list standard "acl_vlan_2" 
18.
   10 permit 192.168.100.0 0.0.0.255 
19.
   20 permit 192.168.111.0 0.0.0.255 
20.
   30 deny 0.0.0.0 255.255.255.255 
21.
   exit 
22.
module 1 type J86yyA 
23.
module 2 type J86xxA 
24.
module 3 type J8694A 
25.
trunk 3 Trk1 Trunk 
26.
trunk 4 Trk2 Trunk 
27.
ip default-gateway 192.168.100.57 
28.
ip routing 
29.
vlan 1 
30.
   name "DEFAULT_VLAN" 
31.
   untagged 1-2,7-48,A1-A4,Trk1-Trk2 
32.
   ip address 192.168.100.57 255.255.255.0 
33.
   no untagged 5-6 
34.
   ip access-group "acl_vlan_1" vlan 
35.
   exit 
36.
vlan 2 
37.
   name "firmen_wlan" 
38.
   untagged 5 
39.
   ip address 192.168.111.254 255.255.255.0 
40.
   tagged Trk1-Trk2 
41.
   ip access-group "acl_vlan_2" vlan 
42.
   exit 
43.
vlan 3 
44.
   name "wlan_guest" 
45.
   untagged 6 
46.
   ip address 192.168.10.1 255.255.255.0 
47.
   tagged Trk1-Trk2 
48.
   ip access-group "acl_vlan_3" vlan 
49.
   exit 
50.
snmp-server community "public" unrestricted 
51.
spanning-tree Trk1 priority 4 
52.
spanning-tree Trk2 priority 4 
53.
 
54.
ProCurve Switch 3500yl-48G#
Wie man sieht habe ich 3 VLANs konfiguriert und diesen VLANs Trunks und Ports zugewiesen.
Ich habe IP Routing aktiviert um die kommunikation zwischen den Netzen zu ermöglichen.
Allerdings soll das "wlan_guest" nicht auf das "default_vlan" und das "firmen_wlan" zugreifen können.
Laut HP Handbuch sollte man dies über ACLs regeln können. Dazu habe ich dann 3 ACLs erstellt, acl_vlan_1 regelt den zugriff auf Vlan1 etc., und diese dem jeweiligen VLAN zugewiesen.
Leider kann ich immernoch von jedem Netz in jedes andere Netz Pingen.
Meine Frage ist jetzt wieso werden meine ACLs ignoriert? Oder muss ich diese noch einmal explizit aktiviren?
Da dies mein ersten Zusammentreffen mit HP Switchen und VLANs ist möchte ich auch nicht ausschließen das sich ein Fehler eingeschlichen hat

Ich bin für alle Vorschläge dankbar ;)

Gruß,

Osiron
Mitglied: aqui
23.03.2012 um 15:29 Uhr
Die ACLs sind auch mit Verlaub gesagt irgendwie komisch d.h. nicht eindeutig. Vielleicht ist das bei HP ja auch so...?? Die können halt Server u. PCs bauen besser als mit Netzen umgehen ! Aber egal...
Deine ACL im Gast VLAN (und auch den anderen VLANs) ist ja relativ nichtssagend, denn sie besagt mit den Eintrag "permit 192.168.10.0 0.0.0.255" ja lediglich nur das hier IP Pakete mit einer Absenderadresse aus dem 192.168.10.0er Netz passieren dürfen. Mehr aber auch nicht !! Nichts zum Ziel usw.
Wenn du jetzt pingst auf Endgeräte in den anderen VLANs prüft die ACL also nur "kommt das Paket aus 192.168.10.0" Ja oder Nein.
Dir leuchtet ein das das nicht wirklich tierfern Sinn macht, denn Pings an die Zieladressen im .100er und .11er Netz können so natürlich auch problemlos passieren und deshalb kannst du weiterhin auch alles pingen. Logisch also und der Switch macht das was er soll....
Du siehst selber das aus logischer Sicht diese ACL eigentlich überflüssiger Unsinn sind, denn es müssten natürlich die Zielnetze mit einbezogen werden.
Ohne jetzt die komische HP Accesslisten Syntax Logik zu kennen müsste eine ACL für das Gastnetz so aussehen: (Vorne Source IP hinten Destination IP !)

10 deny 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
20 deny 192.168.10.0 0.0.0.255 192.168.111.0 0.0.0.255
30 permit 192.168.10.0 0.0.0.255 any


Damit ist dann ein Pingen der .100er und .111er Netze unmöglich. Die Liste erklärt sich ja auch logisch von selbst und sollte man auch so drauf kommen wenn man sich nur mal ein klein bischen in die Lage einen IP Paketes versetzt wie das von VLAN zu VLAN im Switch geroutet wird.
Analog gilt diese ACL Logik so auch für die beiden anderen VLAN Accesslisten.
Bitte warten ..
Mitglied: clSchak
23.03.2012 um 15:34 Uhr
Hi

Nimm die IP aus dem VLAN für Gäste raus, dann kann (und will) der Switch das nicht mehr routen. Das VLAN lässt dann direkt auf die Firewall "auflaufen" und stellst den DHCP so ein, dass die Firewall oder Router das Default Gateway wird (alles nur nicht den Switch) - den DHCP kann dann auch die Firewall machen

Damit kann der HP Switch gar nicht mehr in das VLAN 3 routen und die Gäste kommen von dort aus auch nicht mehr auf die anderen VLANs, das VLAN selbst einfach über die Uplink Ports an die Endpunkte durchgeben ohne das irgendein Endgerät dort eine IP bekommt, außer der Firewall am Ende. Dann musst lediglich (sofern gewünscht) die Uplinks für die Access Points konfigurieren und kann diese dann auch mit dem "Gäste WLAN" ausstatten.

Edit/Add: kann man bei den HP nicht einstellen welches Routing verwendet wird (RIP/OSPF ..)?
Bitte warten ..
Mitglied: aqui
23.03.2012 um 15:44 Uhr
...geht aber in die Hose mit der IP entfernen wenn er den Internet Router entweder im Firmen VLAN oder im Default VLAN hat, denn dann muss er zwangsweise über den Layer 3 Switch mit dem Gäste Traffic !
Die ACLs sind also schon sinnvoll wenn das der Fall sein sollte.
Allerdings gehören Internet und WAN Verbindungen niemals in ein Produktiv VLAN sondern immer ein ein separates VLAN um eben genau das zu vermeiden das Gäste Traffic über ein Produktiv- oder internes Netz geroutet werden muss !!
Das ist aber eine andere Baustelle die in diesem Zusammenhang sicher Sinn macht hat aber ursächlich mit den ACLs oben nix zu tun !
Bitte warten ..
Mitglied: Osiron
23.03.2012 um 16:14 Uhr
Hallo,

erstmal Danke für die super schnellen Antworten

Erstmal zu den ACLs:

HP scheint da in standard und extended ACLs zu unterscheiden.
Ich habe standard genommen und die bewirken nur (oder sollten bewirken) das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden.
Also bedeutet meine ACL für Vlan 1 z.B.:

20 permit 192.168.100.0 0.0.0.255 Lasse alle Pakete mit SA 192.168.100.0/24 durch
30 permit 192.168.111.0 0.0.0.255
Lasse alle Pakete mit SA 192.168.111.0/24 durch
40 deny 0.0.0.0 255.255.255.255 // Verwerfe alle anderen Pakete

Also sollte doch eigendlich das 192.168.10.0/24 Netz verworfen werden.
Und das selbe bei den anderen Netzen.

Die Idee mit dem rauslassen des IP im Gästenetz finde ich erstmal sehr gut
Das Gästenetz hat eh seinen eigenden Router/Firewall und eigende Providerleitung somit sollte das so kein Problem sein.
Ich versuch das mal so ans laufen zu bekommen.

Vielleicht gibts es ja jemanden der sich gut mit HP Switchen auskennt und mir das mit den ACL erkläten würde, da ich noch nicht genau weiss wieso das nicht laufen sollte mit meinen ACLs.

Gruß,

Osiron
Bitte warten ..
Mitglied: aqui
23.03.2012 um 20:47 Uhr
Äääähhh...du hast den obigen Thread nicht richtig gelesen, oder ???
...das IP Pakete mit der einer bestimmten Source Adress (SA) verworfen oder durchgelassen werden (Betonung auf "Source ,Absender Adresse !)
Ja, das ist absolut richtig, keine Frage !!
Du machst hier aber vielleicht (oder ganz sicher) einen großen ACL Denkfehler !!!
Es gelten immer folgende 2 Grundlagen bei ACLs
  • Alle ACLs wirken nur EINGEHEND also inbound in das jeweilige VLAN x Interface !
  • "First Match wins !" Also der erste Hit in der ACL bewirkt das der Rest NICHT mehr abgearbeitet wird. Reihenfolge ist also wichtig !!

Deine VLAN 1 ACL:
20 permit 192.168.100.0 0.0.0.255
30 permit 192.168.111.0 0.0.0.255
40 deny 0.0.0.0 255.255.255.255

steht ja am IP Interface am VLAN 1 mit dem IP Netz 192.168.100.0 /24 !
Gemäß den oben geschilderten Grundsätzen (nur inbound !) prüft sie also eingehende Pakete nach diesen Regeln auf Basis der Source Adresse !!
Also auf Deutsch hier am VLAN 1 alles was an Paketen reinkommt am VLAN 1 Interface auf Basis der Absender IP Adresse aus diesem VLAN !
Folglich muss es also richtig kommentiert so sein:
20 permit 192.168.100.0 0.0.0.255
--> Lasse alle Pakete mit SA 192.168.100.0/24 durch: Logo, alle Pakete die von hier kommen haben ja so oder so immer eine SA von .100.x im VLAN 1 und dürfen dann also überall hin !
30 permit 192.168.111.0 0.0.0.255 --> Lasse alle Pakete mit SA 192.168.111.0/24 durch: Ja, nur von hier kommt niemals was mit .111.x da das VLAN 1 ja im .100.x Netz ist (Regel also Unsinn und greift nie !)
40 deny 0.0.0.0 255.255.255.255 --> Verwerfe alle anderen Pakete: Klar, aber auch Unsinn, da alle IPs die von hier kommen immer .100.x als Absender (Source) IP haben was anderes wird also niemals kommen und alle .100.x Pakete sind durch Regel 20 schon erfüllt so das dieses Deny niemals mehr relevant ist.

Du merkst vermutlich selber wie unsinnig deine obigen ACL Regeln sind.... Eingehende Pakete (nur einzig das kann HP !) auf Basis der Absender IP zu filtern ist sinnfrei, weil sie natürlich immer passieren können da diese IP ja immer stimmt.
Genau deshalb kannst du alles weiterhin pingen trotz aktiver ACL und auch erreichen von den anderen VLANs aus !
Immer dran denken...sie gelten nur eingehend bzw. inbound ins VLAN x Interface und NICHT Ausgehend !
Ausgehende also outbound ACLs supportet Billigheimer HP bekanntlich nicht auf seinen Switches !
Fazit: Baue deine ACLs logisch um und alles wird gut....das klappt sogar bei HP ProCurve Gurken.
Bitte warten ..
Mitglied: aqui
26.03.2012 um 11:19 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst HP Procurve VLAN und Routing (3)

Frage von Fisch2005 zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst HP VLAN routing (5)

Frage von homermg zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VLAN Routing - L3 oder Firewall? (17)

Frage von pataya zum Thema LAN, WAN, Wireless ...

Switche und Hubs
gelöst HP Procurve Switch 2650 J4899B Hängt, keine Verbindung möglich (7)

Frage von duke1212 zum Thema Switche und Hubs ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...