aCardi Geschrieben 13. Januar 2010 Geschrieben 13. Januar 2010 Hallo Leute, (es geht nur um die Theorie! Keine Befehle) ich habe mal eine Frage und zwar habe ich ein VLAN, dass lediglich Internetzugriff haben soll und möchte dies durch Access Control Listen auf dem Router gewährleisten. Ich habe die ACL mit den nötigen Port Erlaubnissen angelegt und möchte sie dem VLAN zuweisen. Ich weiß allerdings nicht genau, wie das funktionieren soll. Der Switch hat 2 VLAN's und ist über ein LWL Kabel mit dem Router verbunden. Wenn ich nun dem LWL-Interface diese ACL zuweise, dann haben aber ja beide VLAN's diese Beschränkung? Vll. kann einer mal theoretisch erklären, wie das funktionieren soll ... Würde mir sehr helfen Viele Grüße Zitieren
lordy Geschrieben 13. Januar 2010 Geschrieben 13. Januar 2010 Du schmeißt hier Sachen durcheinander. VLAN = Layer 2 ACL = Layer 3 So kriegst du die beiden nämlich nicht zusammen. Zitieren
aCardi Geschrieben 13. Januar 2010 Autor Geschrieben 13. Januar 2010 Hey, das ganze habe ich mir auch schon gedacht, allerdings erzählt mir der Netzwerk-Spezi aus meinem Unternehmen, dass im Router ein Interface für das VLAN mit dem IP-Bereich erstellt werden muss und darauf wird die ACL gelegt ... ich versteh es allerdings nicht so ganz, da es wie du schon sagtest OSI2 und 3 ist. Habe leider nicht die Möglichkeit, mich da jetzt mit ihm drüber zu unterhalten. Weiß hier evtl. einer, wie er das meinen könnte? Ist das evtl. eine spezielle Funktion von Enterasys?? Grüße Zitieren
aCardi Geschrieben 13. Januar 2010 Autor Geschrieben 13. Januar 2010 Hier ein Beispiel aus der Router Konfiguration: interface vlan 1422 ip address 10.240.240.11 255.255.255.0 ip access-group 122 in ip access-group 122 out Zitieren
aCardi Geschrieben 13. Januar 2010 Autor Geschrieben 13. Januar 2010 Und eine "Erklärung". "Die ACL (Access Control Listen) werden an das Interface zugeordnet, sowie auch das vlan und der IP-Adressbereich. Du definierst das Interface (vlan und IP-Bereich) und ordnest es dann dem Port zu. Also pro Interface ein vlan. Pro Port sind aber mehrere vlans möglich." Vielleicht kann einer hier das ja mehr verstehen, als ich? Zitieren
aCardi Geschrieben 13. Januar 2010 Autor Geschrieben 13. Januar 2010 Ich habe eine Lösung ... für jeden, den es interessiert hier: Ein Layer-2 Switch fungiert als VTP-Server (VLAN Trunking Protocol), daher kann man im Router ein VLAN-Interface definieren, dem man die ACL's zuweisen kann. Liege ich falsch, korrigiert mich Mfg Zitieren
Crash2001 Geschrieben 22. Januar 2010 Geschrieben 22. Januar 2010 Du schmeißt hier Sachen durcheinander. VLAN = Layer 2 ACL = Layer 3 So kriegst du die beiden nämlich nicht zusammen.Es gibt L3-vlans und L2-vlans. Je nachdem, ob ein vlan-Interface eine IP-Adresse hat oder nicht. Und Accesslisten kann man von Layer 2 bis mindestens Layer 4 definieren. IP-Adressen liegen auf Layer 3, also wenn man eine ACL anhand von IP-Adressen machen will, dann ist das Layer 3. das stimmt. Nur weil da was von Accesslisten steht, ist das aber nicht automatisch Layer 3. Gibt auch genauso ACL für z.B. Layer 4, bei denen anhand von Ports, oder aber anhand von Ports UND IP-Adressen UND Protokoll gefiltert wird (TCP / UDP). Die ACL muss dem vlan (für Filterung innerhalb des vlans über den Switch) oder dem vlan-interface (für Filterung des aus dem vlan in ein anderes vlan oder zu aussenstehenden IPs gehenden Traffic) zugeordnet werden, damit das geht. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.