Toon posts:

HP switches (5406zl) access lists

Pagina: 1
Acties:

dinsdag 2 november 2010 08:13

Acties:
  • PeterPan
  • Registratie: Oktober 2005
  • Laatst online: 20-02 20:42

PeterPan

Topicstarter
Wij hebben in de afgelopen periode ons netwerk geheel vervangen door HP apparatuur, hierbij geholpen door een externe partij. Helaas is deze externe partij failliet gegaan voordat zij de omgeving aan ons konden overdragen en mij wat "training on the job" konden geven. Ik moet nu op korte termijn een configuratie wijziging doorvoeren op onze 5406zl core switch. Hier de (uitgeklede) huidige config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73

trunk D17-D20,E17-E19,E24 Trk1 Trunk 
trunk D23-D24 Trk2 Trunk 
ip routing 
vlan 1 
   name "DEFAULT_VLAN" 
   no untagged A1-A24,D1-D16,D21-D22,E1-E16,E20-E23,F1-F24,Trk1-Trk2 
   no ip address 
   exit 
vlan 2 
   name "Servers" 
   untagged E4 
   ip address 172.16.72.254 255.255.255.128 
   tagged D10-D16,D21-D22,E13-E15,E20-E23,Trk1-Trk2 
   exit 
vlan 3 
   name "Office" 
   untagged E1 
   ip helper-address 172.16.72.196 
   ip address 172.16.73.254 255.255.255.0 
   tagged D10-D16,D21-D22,E13-E15,E20-E23,Trk1-Trk2 
   exit 
vlan 1000 
   name "Quarantine" 
   untagged A1-A24,D10-D13,D21-D22,E20-E23,F1-F24,Trk1-Trk2 
   no ip address 
   exit 
vlan 10 
   name "Management" 
   untagged D14-D16,E2,E13-E15 
   ip helper-address 172.16.72.196 
   ip address 172.18.72.254 255.255.255.0 
   tagged D10-D13,D21-D22,E1,E20-E23,Trk1-Trk2 
   exit 
vlan 255 
   name "Old-Net" 
   untagged D1-D9,E3,E5-E12,E16 
   ip address 192.168.100.0 255.255.255.0 
   tagged D10-D16,D21-D22,E13-E15,E20-E23,Trk1-Trk2 
   exit 
vlan 4 
   name "Printers" 
   ip helper-address 172.16.72.196 
   ip address 172.16.72.62 255.255.255.224 
   tagged D10-D16,D21-D22,E13-E15,E20-E23,Trk1-Trk2 
   exit 
vlan 5 
   name "Factory-Terminals" 
   ip helper-address 172.16.72.196 
   ip address 172.16.72.30 255.255.255.240 
   tagged D10-D16,D21-D22,E1,E13-E15,E20-E23,Trk1-Trk2 
   exit 
vlan 8 
   name "Guest-Wifi" 
   tagged D10-D16,D21-D22,E13-E15,E20-E23,Trk1-Trk2 
   no ip address 
   exit 
vlan 100 
   name "MPLS" 
   tagged D21-D22 
   no ip address 
   exit 
vlan 6 
   name "Factory-PCs" 
   ip helper-address 172.16.72.196 
   ip address 172.16.72.126 255.255.255.192 
   tagged Trk1-Trk2 
   exit 
ip route 0.0.0.0 0.0.0.0 172.16.72.251
spanning-tree
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree priority 1
no autorun


Nu is het de bedoeling VLAN 5 geheel te isoleren met uitzondering van:
-Alle IP adressen in VLAN 5 mogen connectie maken naar server (FILE5) in VLAN 2 met IP adres 172.16.72.140 op TCP poort 873 (rsync) en een machine buiten ons netwerk (SAP_T, 172.16.0.99) op TCP poort 23 (telnet). route via 172.16.72.251.
-Twee PC's in VLAN 3 (172.16.73.220 en 230) mogen connectie maken naar alle IP adressen in VLAN5 op TCP poort 5900 (VNC).
-Twee PC's in VLAN 6 (172.16.72.122 en 123) mogen connectie maken naar alle IP adressen in VLAN5 op TCP poort 5900 (VNC).

Elk zetje in de juiste richting stel ik bijzonder op prijs.

dinsdag 2 november 2010 08:31

Acties:
  • Bjornski
  • Registratie: September 2002
  • Laatst online: 20-01 20:20

Bjornski

FF uit mijn hoofd. Kunnen wat syntaxis foutjes inzitten (ff zo gauw geen switch bij de hand, maar dit zou je in de goede richting moeten helpen);

Het idee is dat je eerst een access list maakt en die daarna koppelt aan een VLAN. Het woordje "in" bij het koppelen van de access-list betekent dat alleen inbound verkeer (verkeer richting de router) wordt gecontroleerd.

Het is raadzaam om uitsluitend inbound access-lists te gebruiken. In grotere configuraties bewaar je zo het overzicht.

Vanuit VLAN 5 moet je nog verkeer terug openzetten naar de PC's in VLAN 3 en VLAN 6.
De makkelijkste manier staat hieronder (alle verkeer van VLAN 5 naar VLAN 3 en 6 toestaan). Echter, als je weet welke poort-ranges VNC hiervoor gebruikt, dan kun je dit een stuk beter dichttimmeren.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

ip access-list extended "Factory-Terminals-ACL"
  allow tcp 172.16.72.30 255.255.255.240 172.16.72.170 255.255.255.255 eq 873
  allow tcp 172.16.72.30 255.255.255.240 172.16.0.99 255.255.255.255 eq 23
  allow tcp 172.16.72.30 255.255.255.240 172.16.73.220 255.255.255.255
  allow tcp 172.16.72.30 255.255.255.240 172.16.73.230 255.255.255.255
  allow tcp 172.16.72.30 255.255.255.240 172.16.73.122 255.255.255.255
  allow tcp 172.16.72.30 255.255.255.240 172.16.73.123 255.255.255.255
exit

vlan 5
  ip access-group "Factory-Terminals-ACL" in
exit

ip access-list extended "Office-ACL"
  allow tcp 172.16.73.220 255.255.255.255 172.16.72.30 255.255.255.240 eq 5900
  allow tcp 172.16.73.230 255.255.255.255 172.16.72.30 255.255.255.240 eq 5900
exit

vlan 3
  ip access-group "Office-ACL" in
exit

ip access-list extended "Factory-PCs-ACL"
  allow tcp 172.16.73.122 255.255.255.255 172.16.72.30 255.255.255.240 eq 5900
  allow tcp 172.16.73.123 255.255.255.255 172.16.72.30 255.255.255.240 eq 5900
exit


vlan 6
  ip access-group "Factory-PCs-ACL" in
exit
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq