Vlan ACL a ACL

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
zbyszek
fresh
fresh
Posty: 2
Rejestracja: 17 maja 2006, 13:34

Vlan ACL a ACL

#1

#1 Post autor: zbyszek »

Witam, szanownych formulowiczow.
Zwaram sie do was o pomoc odnosnie wyjasnienia VACL

mam na switchu 6500 skonfigurowane :
5 Vlan'ow(Vlan 50(192.168.101.80) , Vlan 51( 192.168.100.80), Vlan 52(10.2.0.1), Vlan 53(171.16.6.0), Vlan 54(10.2.1.1)), wlaczony jest routing pomiedzy nimi
wklepalem ACL ograniczajace ruch np.
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.10 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.11 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.12 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.13 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.94 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.95 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.96 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.97 eq ftp
access-list 119 permit ip host 192.168.100.90 host 192.168.100.92
access-list 119 permit udp host 192.168.100.90 host 192.168.100.92 eq 137
access-list 119 permit udp host 192.168.100.90 host 192.168.100.92 eq 138
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 139
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 445
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.92 eq 1029
access-list 119 permit ip host 192.168.100.90 host 192.168.100.101
access-list 119 permit ip host 192.168.100.90 host 192.168.100.102
access-list 119 permit ip host 192.168.100.90 host 192.168.100.103
access-list 119 permit ip host 192.168.100.90 host 192.168.100.104
access-list 119 permit ip host 192.168.100.90 host 192.168.100.105
access-list 119 permit ip host 192.168.100.90 host 192.168.100.106
access-list 119 permit ip host 192.168.100.90 host 192.168.100.107
access-list 119 permit ip host 192.168.100.90 host 192.168.100.108
access-list 119 permit ip host 192.168.100.90 host 192.168.100.109
access-list 119 permit ip host 192.168.100.90 host 192.168.100.110
access-list 119 permit ip host 192.168.100.90 host 192.168.100.111
access-list 119 permit ip host 192.168.100.90 host 192.168.100.112
access-list 119 deny ip any any

i podpielem pod konkretne interfejsy sieciowe (czyli np int gig 1/2).
A teraz moje pytanie jest jak to by mozna bylo zrobic podpinajac pod interfejsy Vlan czyli no vlan 50 ?
Czy trzeba przerabiac ACL? Czy one sa dokladnie takie same jak dla int ?

pozdr. serdecznie i za odpowiedzi bede bardzo wdzieczny
Ps. nawet za te ktore beda mnie ganic za niewiedze. :)

zbyszek

Awatar użytkownika
kktm
CCIE
CCIE
Posty: 2025
Rejestracja: 20 paź 2004, 14:43
Lokalizacja: Wrocław

#2

#2 Post autor: kktm »

Z tego co pamietam to na vlanie mozna wzocic ACL dowolne.
Jedyne ograniczenie to ze nie moze filtrowac ruch tranzytowego tzn. jak na danym vlanie jest siec X.Y.Z.0/24 to zrodlo lub cel musi być właśnie X.Y.Z.0/24 (jeśli się mylę to poprawcie).

Sprawa druga na danym SVI nie mozesz ustawiac filtrow dla hostów wewnatrz danego vlanu.
Do tego poczytaj o VACL.

przemek
wannabe
wannabe
Posty: 119
Rejestracja: 20 mar 2005, 15:42
Lokalizacja: Gliwice

#3

#3 Post autor: przemek »

Tak jak pisze kktm możesz na SVI (int vlan 50 ip access-g 119, nie wiem co masz na myśli pisząc no vlan 50) zapiąć normalne ACL, tylko trzeba uważać co jest źródłem, a co celem, to się (przynajmniej mi) zdarza pomieszać.

Do filtrowania ruchu w obrębie vlanu nie używa się acli tylko vlan access maps, tu można troche poczytać
link

i polecam na końcu ACL deny ip any any log szybciej znajdziesz co nie działa, zresztą domyślnie i tak jest deny

zbyszek
fresh
fresh
Posty: 2
Rejestracja: 17 maja 2006, 13:34

#4

#4 Post autor: zbyszek »

npowinno byc np a nie no vlan 50 -sorki

czyli jak dobrze rozumiem Vacl sluzy do filtrowania pomiedzy vilanami czyli np
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.10 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.11 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.12 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 10.2.1.13 eq ftp
???

a vlan access maps
do wewn czyli np
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.94 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.95 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.96 eq ftp
access-list 119 permit tcp host 192.168.100.90 host 192.168.100.97 eq ftp

dzieki za odpowiedzi.
pozdrawiam serdecznie
zbyszek

Paulus
CCIE
CCIE
Posty: 241
Rejestracja: 04 cze 2005, 18:23

#5

#5 Post autor: Paulus »

Poczytaj o Private VLAN'ach (Isolated, Community, Promiscuous). Dobre rozwiazanie jak posegregowac ruch wewnatrz vlan'u.

ODPOWIEDZ