knorkator
Goto Top

Cisco SG350XG - ACL nachträglich bearbeiten

Hallo,

ich tüftel mich derzeit in die ACLs unserer neuen Cisco Switch ein und muss dann jetzt doch mal nachfragen..

Mir ist aufgefallen, dass ich keine ACEs hinzufügen kann, wenn die ACL an ein VLAN gebunden ist.
Einziger Weg: Bindung aufheben, ACE ändern oder hinzufügen, Bindung herstellen.
Während des ACL entbunden ist, habe ich auf dem Vlan doch alle Türen offen..
Irgendwie erschließt sich mir die Logik dahinter nicht.

Bitte um Aufklärung... vielleicht hab ich ja auch grundsätzlich noch nen Denkfehler und hab das mit den ACLs trotz vieler Beiträge dazu, noch nicht 100% kapiert.

Im Beispiel mache ich folgendes:

Aus Vlan 1 (Client-Vlan) soll nur ein Client auf Vlan 10 (Switch MGMT) zugreifen dürfen.
Quasi ein Management-PC.

Daher gilt:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip any any ace-priority 30

Nr. 30, weil die Systeme grundsätzlich in alle anderen Netze dürfen, auch in´s Internet.

Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?


Vielen Dank im voraus!

Content-Key: 443567

Url: https://administrator.de/contentid/443567

Ausgedruckt am: 28.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 23.04.2019 aktualisiert um 17:11:39 Uhr
Goto Top
Hatten wir das Thema nicht gerade heute...?! face-smile
ACLs bei Cisco SG350

Deine ACL ist richtig, allerdings kosmetisch besser wäre:
Extended IP access list 1-Client
permit ip host 10.101.100.1 10.101.0.0 0.0.0.255 ace-priority 10
deny ip 10.101.100.0 0.0.0.255 10.101.0.0 0.0.0.255 ace-priority 20
permit ip 10.101.100.0 0.0.0.255 any ace-priority 30


Any zu any solltest du besser nicht verwenden, denn das würde auch Clients mit wilden oder bösen Fremd IPs im VLAN 1 den Weg nachdraussen ebnen.
Mit dem ACE Feature solltest du die ACL auch online anpassen können ohne das Binding aufzuheben.
Adavanced Option hast du im GUI aktiviert ?
Mitglied: Knorkator
Knorkator 24.04.2019 um 09:01:00 Uhr
Goto Top
Hallo Aqui,

habe das Thema auch gesehen.
Danke für den Tipp bzgl. der Any-Regel.

Hast Du nen Tipp bzgl. des eigentlichen Themas?
face-smile

Vielen Dank.
Mitglied: Knorkator
Knorkator 24.04.2019 um 10:48:23 Uhr
Goto Top
Zitat von @Knorkator:
Wenn ich jetzt ein weiteres Vlan einrichte welches die Clients ebenfalls nicht erreichen dürfen, dann muss ich in der ACL für VLAN-1 doch hinzufügen, dass dieses Netz (wie in Regel mit Prio20) nicht erlaubt ist.
Aber wenn ich dafür jedes mal die Bindungen auflösen muss....... ?

Ich hab da noch etwas..

Angenommen, ich hab 20 Vlans in meinem Netz.
Ich richte nun ein weiteres ein (Vlan666), welches nur von einem der 20 anderen Vlans erreichbar sein darf.

Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?

Ich gebe Dir ja recht, dass das Paket so früh wie möglich gestoppt werden soll, als eine ACL pro Vlan, aber der Konfigurationsaufwand ist ja doch recht hoch dabei.

Demnach wäre eine "von außerhalb nach VLAN666) ACL schon sinnvoll.
Das ist ja quasi auch eine "eingehende" Regel.

Vielen Dank im voraus für die Mühe, dieses Thema das 100. mal erklären zu müssen.
Aber trotz der anderen Beiträge bin ich unsicher, ob ich nicht etwas übersehe.
Mitglied: aqui
aqui 24.04.2019 um 15:01:21 Uhr
Goto Top
Meinem jetzigen Verständnis nach, muss ich dann an 19 Vlans einrichten, dass diese nicht in Richtung Vlan666 dürfen?
Es geht auch einfacher....
Es ist dann sinnvoller an diesem VLAN Interface eine PERMIT Regel in des Ziel VLAN einzurichten, danach alles anderen VLANs zu deny"en".
Wenn du einen intelligente VLAN Adressierung hast, das z.B. alles VLANs im 172.20.x.y Bereich liegen ist das ein 3 Zeiler:
PERMIT ip 172.20.66.0 0.0.0.255 172.20.3.0 0.0.0.255
DENY ip 172.20.66.0 0.0.0.255 172.20.0.0 0.0.255.255
(PERMIT ip 172.20.66.0 0.0.0.255 any )

Letzte Zeile nur wenn du auch Internet Zugang erlauben willst.
Aber du kannst das auch mit einer Outbound Regel erschlagen. Vergiss aber nicht das die immer CPU switched arbeiten. Die skalieren also nicht so wie Inbound Regeln.
Mitglied: Knorkator
Knorkator 29.04.2019 um 16:44:01 Uhr
Goto Top
Ok, Danke für die Hilfestellung.
Muss ich erstmal sacken lassen..
face-smile

Bzgl. intelligenter Vlan Adressierung:
Ich bin grundsätzlich noch völlig frei in der Gestaltung.
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.

Ich melde mich wieder wenn ich Zeit dafür finde!

Vielen Dank!
Mitglied: aqui
aqui 29.04.2019 aktualisiert um 17:12:38 Uhr
Goto Top
Geplant ist derzeit nur, dass ich mich im Bereich 10.101.x.x bewegen kann.
Dann ist das ja eine intelligente Adressierung. Du hast ja dann keine wild durcherinandergehende Adressierung sondern alles in diesem Bereich. face-wink
Dann sähe das so aus wenn VLAN 66 aufs VLAN 3 darf (jetzt mal 24er Prefixe angenommen und das 3te Byte entspricht der VLAN ID)):
PERMIT ip 10.101.66.0 0.0.0.255 10.101.3.0 0.0.0.255
DENY ip 10.101.66.0 0.0.0.255 10.101.0.0 0.0.255.255
(PERMIT ip 10.101.66.0 0.0.0.255 any <== Wenn Internet erlaubt ist)