Toon posts:

ACL + VLANS op hp 5300 xl switch

Pagina: 1
Acties:

woensdag 21 mei 2003 17:55

Acties:

Verwijderd

Topicstarter
Wij hebben hier een HP 5300 xl switch.
Op deze switch hebben we 2 vlans gedefinieerd nml:
VLAN 1: 192.168.78.0
VLAN 2: 192.168.77.0

Op dit moment is het zo dat je zonder probleem van het ene vlan naar het andere vlan kunt connecten over alle poorten.

Nou wil het ik het zo hebben dat er alleen vanuit vlan 1 naar vlan 2 geconnect kan worden over poort 23 (telnet dus). Ik heb een extended access list '100' aangemaakt met de volgende regel:
permit tcp 192.168.78.0 0.0.0.0 192.168.77.0 0.0.0.0 eq 23
Deze heb ik toegepast op de outside van vlan 1.

Op vlan 2 en op vlan 1 (inside) heb ik verder geen acl's gedefineerd dus daar wordt alles gewoon doorgelaten.

Op de een of andere manier werkt dit niet. Krijg geen telnet connectie opgezet.
Heeft iemand ervaring met HP switches icm acl/vlans?
Of heeft iemand een voorbeeld configuratie voor mij?

woensdag 21 mei 2003 19:49

Acties:
  • kell.nl
  • Registratie: Januari 2002
  • Laatst online: 27-09-2023

kell.nl

Fizzgig's evil twin

Je wildcard bits zijn fout.
Het moet

code:
1

access-list 100 permit tcp 192.168.78.0 0.0.0.255 192.168.77.0 0.0.0.255 eq 23

zijn.

Let op dat je dan wel pakketjes mag sturen, maar terugkerende pakketjes geblokt worden.
Je kan dan het beste op vlan 2 een extended access-list inbound zetten.

code:
1

access-list 101 permit tcp 192.168.77.0 0.0.0.255 192.168.78.0 0.0.0.255 established


OF

code:
1

access-list 101 permit tcp 192.168.77.0 0.0.0.255 eq 23 192.168.78.0 0.0.0.255 gt 1024


Tevens zou ik de 100 ook inbound zetten op vlan 1. Dit scheelt in performance.
(tenzij je vanaf vlan 1 naar de switch zelf moet telnetten)

[ Voor 10% gewijzigd door kell.nl op 21-05-2003 19:53 ]

woensdag 25 mei 2005 00:12

Acties:
  • Stewie!
  • Registratie: September 2001
  • Laatst online: 21-02 20:36

Stewie!

Keen must die!

Zelfde switch, hetzelfde probleem, nieuweste software updates, etc.
2 vlans zijn aangemaakt.

Wij willen enkele poorten voor de buitenwereld afschermen dmv ACL's.

Zo hebben wij deze korte voorbeeld ACL:
code:
1
2
3
4
5

ip access-list extended "130"
   deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 22
   deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 22
   permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
   exit


Deze acl 130 is gekoppeld aan het vlan:
code:
1
2
3
4
5
6
7
8

vlan 1092
   name "<NAAM>"
   untagged B5
   no ip address
   tagged A15-A16
   ip access-group "130" in
   ip access-group "130" out
   exit


Het gaat er dus dat verkeer op poort 22 geheel onmogelijk is. Dus niet alleen binnen het vlan, maar vooral voor verbindingen van buitenaf.
Toch werkt deze ACL niet, mis ik iets?

[ Voor 222% gewijzigd door Stewie! op 25-05-2005 00:23 ]

Marathon loper in Tokyo, London, Rotterdam, Maria Alm, San Francisco, Berlin, Chicago, Amsterdam
Strava: https://www.strava.com/athletes/149347154

woensdag 25 mei 2005 15:29

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ja je wildcards bits kloppen niet. Wat je nu denied is al het verkeer vanaf host 0.0.0.0 naar hosts 0.0.0.0 op poort 23
het moet zijn
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 eq 22
deny udp 0.0.0.0 0.0.0.0 0.0.0.0 eq 22
permit ip 0.0.0.0 0.0.0.0 0.0.0.0
overigens als ik het goed heb gaat er nu helemaal niks meer doorheen. Ik heb overigens geen verstand van HP ACL maar zal wel hetzlefde zijn als cisco asl ik het zo zie
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq