Frage zu ACL auf Catalyst 4500

[maho 10]

Hallo,

 

folgende Anforderung ist gestellt:

- auf einem C4500 sind 30 VLAN's konfiguriert

- diese sind in gleichgroße Subnetze im Netz 10.150.0.0/16 aufgeteilt

- ein Subnetz ist Transfernetz zur Firewall

- Zugriff zwischen den VLAN's soll verhindert werden, jedoch soll es Ausnahmen geben

- Zugriff von Outside durch die Firewall vom Transfernetz aus soll nur die Firewall kontrollieren, auf den ACL's des C4500 nicht

 

Zum einen würde ich gerne wissen, was zu beachten ist, wenn man auf den Catalyst 4500 filtern möchte. Eine Überlegung ist, einen Filter für alle VLAN's zu erstellen. Das hätte aber den Nachteil, dass ein Fehler in der "zentralen ACL" sich auf alle VLAN's auswirken würde.

Ideal wäre es, eine Default-ACL für alle VLAN's zu haben, diese wird niemals berührt. Und zusätzlich kann man eine Individuelle ACL konfigurieren, also 2 ACL's pro VLAN???

 

Bin für jeden Tip sehr dankbar!

 

Danke und Gruß

maho

[fcernik 10]

Hi!

 

Was hast du für eine Firewall?

 

Ich würde die VLANs bis zur Firewall schleifen, sofern sie .1q kann, und dort alles abfacklen...

 

lg

[mgoerke 10]

Hallo,

 

mir sind einige Dinge nicht ganz klar.

Hast du eine seperate Firewall? Wenn ja, welche?

Kann diese Firewall mehr als 2 Vlans?

Dann sollte die Firewall sich um die Zugriffsregeln kümmern, nicht der 4500.

 

Dazu ist es notwendig, die VLANs per Trunk 802.1Q zur Firewall zu leiten. Die Firewall unterscheidet die verschiedenen LANs und damit die verschiedenen IP-Netze und kümmert sich um die dann Zugriffsregeln.

 

Bei einer Lösung ohne Firwall hingegen benötigst du je nach Anforderungen pro VLANs min. 2 Regeln, wenn du die Kommuniktation der VLANs untereinabdern regeln möchtest. NAchteil ist, das die Cisco 4500 keine Stafaull-Regeln können. (Dazu ist ein spezielles IOS notwendig)

 

mgoerke

cynfo : Willkommen