Zum Inhalt springen

Aruba-Switches VLAN ACL

Eye-Q

Von Eye-Q
in Netzwerke

 Teilen

Empfohlene Beiträge

Eye-Q

Eye-Q

Geschrieben
Geschrieben

Mahlzeit,

ich habe gerade ein Projekt in den Fingern, wo mit einer komplett neuen Switch- und Firewall-Infrastruktur u.A. Gast-Wohnungen mit Internet versorgt werden sollen. Der Übersichtlichkeit halber wollen wir alle Netzwerkanschlüsse aller Gast-Wohnungen in ein VLAN werfen, allerdings sollen die Gast-Wohnungen untereinander natürlich nicht kommunizieren dürfen. Deswegen habe ich an eine ACL auf dem Switch gedacht, allerdings habe ich bisher noch nicht mit ACLs auf Switches gearbeitet, mir das aber mal theoretisch angeschaut und daraus meine Schlüsse gezogen. Es wäre schön, wenn jemand mit mehr Erfahrung über die ACL drüberschaut, die ich mir ausgedacht habe.

Folgendes soll gegeben sein:

  • Der Switch bekommt ein VLAN 168 konfiguriert
  • Der Switch bekommt im VLAN 168 keine IP-Adresse konfiguriert
  • Die Firewall wird im VLAN 168 mit der 192.168.168.254 (Subnetzmaske 255.255.255.0) versehen
  • Die Switchports, mit denen die Wohnungen versorgt werden, werden mit Untagged VLAN 168 versehen
  • Der Switchport, an dem die Firewall angeschlossen ist, wird mit Tagged VLAN 168 versehen
  • Die Firewall bekommt Firewall-Regeln, die Websurfing, E-Mail-Verkehr und ein paar andere Dienste aus dem VLAN 168 in Richtung Internet zulassen

Die ACL, wie ich sie mir vorstelle, sieht folgendermaßen aus:

  • Permit tcp any host 192.168.168.254

  • Permit tcp host 192.168.168.254 any

  • Deny tcp any any

Wenn ich die ACL dann auf dem Switch dem VLAN 168 zuweise, dürften die Geräte, die an den Switchports angeschlossen sind, die mit Untagged VLAN 168 versehen sind, mit der Firewall und somit dem Internet kommunizieren, mit allen anderen IP-Adressen aus dem Subnetz 192.168.168.0/24 aber nicht, richtig?

 

Vielen Dank im Voraus

Eye-Q

Eye-Q

Geschrieben
  • Autor
Geschrieben

Oh, das hört sich sehr gut an, vielen Dank. :)

Wenn ich also auf einem Switch als Uplink zum Core-Switch den Port 52 habe und Ports 1-48 für die Gast-Wohnungen nutzen möchte, brauche ich nur die Ports mit Untagged VLAN 168 zu versehen und folgenden Befehl in der CLI abzusetzen, richtig?

  • vlan 168 isolate-list 1-48

So können die Ports 1 bis 48 im VLAN 168 untereinander nicht kommunizieren, aber mit dem Uplink schon. Falls es noch andere VLANs gibt (z.B. für VoIP, wo die VoIP-Telefone entweder selbst taggen oder per Auto-VLAN in ein anderes VLAN gesteckt werden), können die Geräte in diesen VLANs untereinander kommunizieren. Das ist genau das, was ich gesucht habe. :)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...