ThorstenWilli 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Mahlzeit, Mal wieder ein Problem. Ich hab nen 3550 48 Kupfer 2 GBIC IOS 12.1(22)EA1a. Port 1-16 VLAN500 174.168.50.2 DHCP Pool 174.168.50.10 - 254 Port 17-32 VLAN600 174.168.60.2 DHCP Pool 174.168.60.10 - 254 Port 33-48 VLAN700 174.168.70.2 DHCP Pool 174.168.70.10 - 254 Routen zwichen den einzelnen Netzwerken klappt auch mitlerweile. Nun will ich aber das ich nur von VLAN500 auf alle anderen komme aber nicht anders herum. Meine ACL: permit 174.168.50.0, wildcard bits 0.0.0.255 deny any somit sollte das doch klappen. Oder ? Auf jeden Fall kann ich noch alle von überall aus Pingen! Ist das jetzt richtig oder wie sieht ne vernünftige ACL aus? MfG Thorsten Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Hi, Ich hab noch ne acl geschrieben die lautet: - deny icmp any any log - deny ip any any log trozdem kann ich noch alles pingen! Da stimmt doch was nicht! MfG Thorsten Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Hast du die ACL denn auch irgendwo angewendet? Also auf dem Interface z.B.: ip access-group 191 in oder ip access-group 190 out oder so Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Bevor du das von czappb eingibst solltest du sicherstellen das du irgendwie im Notfall auf das Geraet kommst. Da waerst du naemlich ausgesperrt :D Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Jepp Also ich hab folgende ACL geschrieben Extended IP access list 160 permit icmp 174.168.60.0 0.0.0.255 host 174.168.50.12 permit ip 174.168.60.0 0.0.0.255 host 174.168.50.12 deny ip any any deny icmp any any dan auf vlan600: acces-group 160 out Trotzdem kann ich dann kein ping mehr von 174.168.60.11 an 174.168.50.12 senden ( Zeitüberschreitung der Anforderung) Warum klappt das nicht ein ping ist doch icmp MfG Thorsten Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Ja und wenn ich das richtig sehe hast du die ACL 160 ausgehend auf VLAN 600 gebunden, wobei VLAN 600 das 172.16.60.0/24er Netz ist. d.h. es wird mit fast absoluter wahrscheinlichkeit kein packet von der 60.0/24 richtung out gehen, da sie alle nach in gehen. Out ist vom router ins netz und in vom netz in den router... Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 also nur um mich nochmal verständlich auszudrücken: Es sollte acces-group 160 in sein. Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 2. Juni 2006 Autor Melden Teilen Geschrieben 2. Juni 2006 Morgen, Ok vielen Dank für eure Hilfe, es funktioniert jetzt. Ne kurze Frage hab ich trotzdem noch : Ich mache nen ping von dem Rechner 174.168.60.11 aus dem VLAN 600 heraus ins VLAN 500 herein zur Adresse 174.168.50.12. Warum muss ich dann auf dem Interface VLAN 600 die access-group auf in stellen, ich will ja den Verkehr der aus VLAN600 geht begrenzen. Ich meine es klappt so, aber wo ist denn da die logische Denkweise? Kann mir das mal einer in kurzen Worten erklähren. Wär ich sehr dankbar für. MfG Thorsten Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 2. Juni 2006 Melden Teilen Geschrieben 2. Juni 2006 Ganz einfach weil die ACLs immer aus sicht des Router sind. Man stelle sich vor man sei der Router und hat VLAN500 und VLAN600 angeschlossen. Aus VLAN600 möchte ein Gerät in VLAN500 kommunizieren dann sehe ich das gesendetet Packet auf VLAN600 zu mir eingehend und VLAN500 von mir ausgehend. ---- Also NICHT aus sicht des VLANs - aus dem VLAN raus oder ins VLAN rein sondern ins Routerinterface rein oder raus. Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 2. Juni 2006 Autor Melden Teilen Geschrieben 2. Juni 2006 Hi, Das ist doch mal ne Aussage die wars***einlich sogar ein DAU verstehen müsste. Nee war echt hilfreich. Ich denke das hilft bei der weiteren Erstellung von ACL's. Vielmals merci MfG Thorsten Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 8. Juni 2006 Autor Melden Teilen Geschrieben 8. Juni 2006 Hi, Ich hab dann doch noch mal ne Frage: Ich hab jetzt drei VLANs: 500, 600 und 700. Vlan 500 soll master VLAN sein, d.h. kann in jedes andere vlan routen -> funktioniert Vlan 600 und 700 sollen nur Zugriff auf vlan 900 haben in denen die Server stehen. Wie könnte ich das verwirklichen ohne ne riesige ACL zu schreiben um dort für 600 und 700 alle Dienste zu verbieten? Durch das InterVLAN Routing (hab ich eingestellt) kann alles in jedes VLAN geroutet werden. Wie gasagt soll das aber nur bei VLAN500 der Fall sein. Alle anderen VLANs sollen nur in VLAN900 kommen! MfG Thorsten Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 8. Juni 2006 Melden Teilen Geschrieben 8. Juni 2006 Schreib doch für VLAN 500 und 600 eine ACL in richtung IN die IP ins Subnetz des VLAN900 erlaubt dann noch TCP ESTABLISHED nach überall erlauben und den Rest DENY? Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 8. Juni 2006 Autor Melden Teilen Geschrieben 8. Juni 2006 Gibt es denn keinen Befehl der das routen zwichen den VLANs verbietet außer über ne ACL dann das vlan 900 erlaubt MfG Thorsten Zitieren Link zu diesem Kommentar
ThorstenWilli 10 Geschrieben 8. Juni 2006 Autor Melden Teilen Geschrieben 8. Juni 2006 Haha jetzt kommt mal ein Problem 1. Switch Catalyst 3550 VLAN500 ip -> 174.168.50.2 Gateway 174.168.50.2 VLAN600 ip -> 174.168.60.2 Gateway 174.168.60.2 VLAN700 ip -> 174.168.70.2 Gateway 174.168.70.2 2. Switch Catalyst 3550 VLAN500 ip -> 174.168.50.3 Gateway 174.168.50.3 VLAN800 ip -> 174.168.80.2 Gateway 174.168.80.2 VLAN900 ip -> 174.168.90.2 Gateway 174.168.90.2 Verbunden über Gbig module die Einstellungen sind bei beiden gleich: switchport trunk encapsulation dot1q switchport mode dynamic desirable bandwidth 10000000 Wie sollten die IP-Adressen der beiden vlans500 sein ? Was muss ich einstellen damit ich aus jedem VLAN erst mal jedes VLAN erreichen kann ? Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 8. Juni 2006 Melden Teilen Geschrieben 8. Juni 2006 Also ich würd mal gerne verstehen was meinst du immer mit "Gateway 17..."? Ich hoffe nicht das du auf dem Switch eine Route auf sich selber setzt? Also grundsätzlich sind alle VLANs die ein Interface mit IP haben ohne weitere Routen zu erreichen, sie sind schließlich direkt verbunden. Wenn du jetzt aus welchen Gründen auch immer diese beiden "Router" verbinden willst müssen die 2 Interface im selben VLAN haben. (Scheint bei VLAN500 der Fall zu sein) Dann mußt du nur noch Routen die auf die anderen Netze (600 & 700 bzw. 800 & 900) zeigen konfigurieren die als router jeweils die IP des anderen router im VLAN 500 haben. ABER: Ich will dich nicht davon abhalten weiter zu experimentieren oder ähnliches, aber das sind absolute Grundlagen die jedem der was mit Routern machen will bekannt sein MÜSSEN. Falls du da noch Schwierigkeiten hast versuch dir erstmal dieses Wissen anzueignen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.