6
ACL Verständnisfrage, wo ist mein Fehler
Hallo zusammen bzw. guten Abend,
Bin grade mich dabei in das Thema ACLs bei Cisco Switchen einzulesen.
Mein Ziel ist es eine IP Adresse zu sperren, aber andere IP Adressen zuzulassen.
PC 2 und PC 3 sind an einen Switch (2) angeschlossen die miteinander Kommunizieren dürfen.
Jedoch soll eine bestimme IP Adresse von Switch 2 nicht zu Switch 1 gelangen, aber im Umkehrschluss soll PC 1 Daten zu PC 2 und PC 3 senden und empfangen.
Nur eine IP darf nicht Switch 1
Im Internet habe ich auch ein paar Dokumentationen zu dem Thema gefunden.
Aber leider funktioniert dies leider nicht wie ich es mir Erhoffe.
Das Ergebnis ist das die IP zwar Blockt wird aber, alles andere auch.
Hoffe ihr könnt mir helfen.
Vielen Dank.
Gruß
Carsten
Bin grade mich dabei in das Thema ACLs bei Cisco Switchen einzulesen.
Mein Ziel ist es eine IP Adresse zu sperren, aber andere IP Adressen zuzulassen.
PC 2 und PC 3 sind an einen Switch (2) angeschlossen die miteinander Kommunizieren dürfen.
Jedoch soll eine bestimme IP Adresse von Switch 2 nicht zu Switch 1 gelangen, aber im Umkehrschluss soll PC 1 Daten zu PC 2 und PC 3 senden und empfangen.
Nur eine IP darf nicht Switch 1
Im Internet habe ich auch ein paar Dokumentationen zu dem Thema gefunden.
Aber leider funktioniert dies leider nicht wie ich es mir Erhoffe.
Das Ergebnis ist das die IP zwar Blockt wird aber, alles andere auch.
interface gi1/0/3
ip access-group 1 in
!
access-list 1 deny host 192.168.200.20
access-list 1 permit anyHoffe ihr könnt mir helfen.
Vielen Dank.
Gruß
Carsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 94106868109
Url: https://administrator.de/contentid/94106868109
Printed on: May 3, 2024 at 12:05 o'clock
6 Comments
Latest comment
Ggf. helfen dir diese 2 Forenthreads die Grundlagen zu klären:
Cisco 3560 switch
Cisco SG350-10 Management Board nicht von allen VLANs zugängig machen
Bedenke das ACLs nicht stateful sind! Du musst also immer beide Wege im Paket Flow beachten!
Cisco 3560 switch
Cisco SG350-10 Management Board nicht von allen VLANs zugängig machen
Bedenke das ACLs nicht stateful sind! Du musst also immer beide Wege im Paket Flow beachten!
1
Hallo aqui,
Danke, für dir Links. Lese sie Grade.....
Aber müsste die Regel nicht passen?
Ich sage ja was geblockt wird und den Test erlaube ich ja.
Thema Statefull ist mir bekannt.
Gruß
Danke, für dir Links. Lese sie Grade.....
Aber müsste die Regel nicht passen?
Ich sage ja was geblockt wird und den Test erlaube ich ja.
Thema Statefull ist mir bekannt.
Gruß
Aber musste die Regel nicht passen?
Jede Regel "passt" ja irgendwie immer. Kardinalsfrage ist immer was du geneu erreichen willst.Oben bedeutet das das jeder Traffic vom Host mit der IP 192.168.200.20 egal wohin geblockt ist. Der Host kommt nirgendwo mehr hin aber alles andere was noch an dem Port ist sollte passieren können.
Setze im Zweifel ein "log" hinter die Regeln dann wird im Log alles mitgeloggt was die Regel macht.
Ggf. solltest du nochmal explizit klären welcher PC welche IP hat und wer mit wem darf das ist leider im Thread etwas schwammig geblieben.
PC 2 hat die IP 192.168.100.20
PC 3 hat die IP 192.168.100.30
Es läuft eine Software auf PC 2 die mit der IP 192.168.200.20 mit PC 3 kommuniziert.
Es kommen dann noch Daten aus Richtung Switch 1 die von PC 2 verarbeitet werden dieser schickt aber auch Daten zurück an Switch 1.
Deswegen soll die IP 192.168.200.20 geblockt werden und alles andere erlaubt sein.
Hoffe man versteht es.
Gruß
PC 3 hat die IP 192.168.100.30
Es läuft eine Software auf PC 2 die mit der IP 192.168.200.20 mit PC 3 kommuniziert.
Es kommen dann noch Daten aus Richtung Switch 1 die von PC 2 verarbeitet werden dieser schickt aber auch Daten zurück an Switch 1.
Deswegen soll die IP 192.168.200.20 geblockt werden und alles andere erlaubt sein.
Hoffe man versteht es.
Gruß
Muss PC 2 noch mit etwas anderem reden als PC 3 z.B. mit einem DHCP Server oder einem DNS Server ? Leider muss man dir ja alles einzeln aus der Nase ziehen...
All das musst du ja berücksichtigen wenn du seine IP Kommunikation mit einer ACL einschränkst.
Wenn Gig1/0/3 der Port ist an dem PC 2 steckt und dann dort eine Killer ACL für PC-2 mit: deny host 192.168.200.20 definiert ist, ist PC 2 damit dann logischerweise natürlich tot. Sprich die ACL macht dann genau das was sie soll und du auch oben beschreibst.
All das musst du ja berücksichtigen wenn du seine IP Kommunikation mit einer ACL einschränkst.
Wenn Gig1/0/3 der Port ist an dem PC 2 steckt und dann dort eine Killer ACL für PC-2 mit: deny host 192.168.200.20 definiert ist, ist PC 2 damit dann logischerweise natürlich tot. Sprich die ACL macht dann genau das was sie soll und du auch oben beschreibst.
