Eye-Q Geschrieben 5. März 2020 Teilen Geschrieben 5. März 2020 Mahlzeit, ich habe gerade ein Projekt in den Fingern, wo mit einer komplett neuen Switch- und Firewall-Infrastruktur u.A. Gast-Wohnungen mit Internet versorgt werden sollen. Der Übersichtlichkeit halber wollen wir alle Netzwerkanschlüsse aller Gast-Wohnungen in ein VLAN werfen, allerdings sollen die Gast-Wohnungen untereinander natürlich nicht kommunizieren dürfen. Deswegen habe ich an eine ACL auf dem Switch gedacht, allerdings habe ich bisher noch nicht mit ACLs auf Switches gearbeitet, mir das aber mal theoretisch angeschaut und daraus meine Schlüsse gezogen. Es wäre schön, wenn jemand mit mehr Erfahrung über die ACL drüberschaut, die ich mir ausgedacht habe. Folgendes soll gegeben sein: Der Switch bekommt ein VLAN 168 konfiguriert Der Switch bekommt im VLAN 168 keine IP-Adresse konfiguriert Die Firewall wird im VLAN 168 mit der 192.168.168.254 (Subnetzmaske 255.255.255.0) versehen Die Switchports, mit denen die Wohnungen versorgt werden, werden mit Untagged VLAN 168 versehen Der Switchport, an dem die Firewall angeschlossen ist, wird mit Tagged VLAN 168 versehen Die Firewall bekommt Firewall-Regeln, die Websurfing, E-Mail-Verkehr und ein paar andere Dienste aus dem VLAN 168 in Richtung Internet zulassen Die ACL, wie ich sie mir vorstelle, sieht folgendermaßen aus: Permit tcp any host 192.168.168.254 Permit tcp host 192.168.168.254 any Deny tcp any any Wenn ich die ACL dann auf dem Switch dem VLAN 168 zuweise, dürften die Geräte, die an den Switchports angeschlossen sind, die mit Untagged VLAN 168 versehen sind, mit der Firewall und somit dem Internet kommunizieren, mit allen anderen IP-Adressen aus dem Subnetz 192.168.168.0/24 aber nicht, richtig? Vielen Dank im Voraus Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
awesomenik Geschrieben 5. März 2020 Teilen Geschrieben 5. März 2020 Schau dir mal "isolate-list" an: https://techhub.hpe.com/eginfolib/networking/docs/switches/K-KA-KB/15-18/5998-8164_mrg/content/ch02s03.html Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Eye-Q Geschrieben 6. März 2020 Autor Teilen Geschrieben 6. März 2020 Oh, das hört sich sehr gut an, vielen Dank. Wenn ich also auf einem Switch als Uplink zum Core-Switch den Port 52 habe und Ports 1-48 für die Gast-Wohnungen nutzen möchte, brauche ich nur die Ports mit Untagged VLAN 168 zu versehen und folgenden Befehl in der CLI abzusetzen, richtig? vlan 168 isolate-list 1-48 So können die Ports 1 bis 48 im VLAN 168 untereinander nicht kommunizieren, aber mit dem Uplink schon. Falls es noch andere VLANs gibt (z.B. für VoIP, wo die VoIP-Telefone entweder selbst taggen oder per Auto-VLAN in ein anderes VLAN gesteckt werden), können die Geräte in diesen VLANs untereinander kommunizieren. Das ist genau das, was ich gesucht habe. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.