Cisco ACL für einzelne Ports richtig setzen?

[Wordo]

Normalerweise macht man als DHCP auch eine Range die sich perfekt mit einer Netzadresse abdecken laesst:

Bsp:
192.168.0.0/24 Netzwerk

Wlan Range:
192.168.0.128 - 255

= 192.168.0.128 / 25

Kannst dann mit einer ACL abdecken.

[ingram333]

hmmm ja die Range hier ist sehr seltsam definiert (mit Lücken zwischendrin und
Ausnahmen), ich denke die müsste ich fast mal neu machen...

Frage, was wäre wohl sinvoller/einfach:
1) Die DHCP Range anzupassen und es über ACLs versuchen
2) Die Sache mit den Ports (wobei ich das nicht ganz verstehe
was in dem Link von dir geschrieben steht).

Denke am einfachsten wäre in meinem Fall doch die Kommunikation von Port 23
auf Port 21 und zurück zu beschränken, oder? Wie sehen die cmd's dafür genau aus? In dem Link den du gepostet hast finde ich was über Secure Ports und
beschränkung der MAC, aber nichts wie man von Port zu Port beschränkt...

Danke noch mal für deine Hilfe!

[Wordo]

Vergiss das mit den Protected Ports ... Sag mir einfach die Scope von DHCP dann schreib ichs dir schnell zam ...

[ingram333]

Hi Wordo,

vielen Dank für deine Hilfe, der DHCP Scope wäre

192.168.0.20 - 192.168.0.99

Mit ein paar Rservierungen dabei, aber ich denke die könnte ich umstellen
auf IPs die nicht in diesem Bereich liegen.

[Wordo]

ip access-list 102 deny ip 192.168.0.20 0.0.0.3 192.168.0.0 0.0.0.255
ip access-list 102 deny ip 192.168.0.24 0.0.0.3 192.168.0.0 0.0.0.255
ip access-list 102 deny ip 192.168.0.28 0.0.0.3 192.168.0.0 0.0.0.255
ip access-list 102 deny ip 192.168.0.32 0.0.0.31 192.168.0.0 0.0.0.255
ip access-list 102 deny ip 192.168.0.64 0.0.0.31 192.168.0.0 0.0.0.255
ip access-list 102 deny ip host 192.168.0.96 192.168.0.0 0.0.0.255
ip access-list 102 deny ip host 192.168.0.97 192.168.0.0 0.0.0.255
ip access-list 102 deny ip host 192.168.0.98 192.168.0.0 0.0.0.255
ip access-list 102 deny ip host 192.168.0.99 192.168.0.0 0.0.0.255
ip access-list 102 permit ip any any

Die ein oder andere koennte man noch einsparen, is nur so auf die Schnelle ..

[ingram333]

danke dir auf jeden fall schon mal!

Ich glaub aber das ich mein Problen doch nicht so einfach lösen kann...
ich hab nämlich 2 x WLAN am selben Switch sehe ich gerade und nur
eines davon soll beschränkt auf die Kommunikation zur FW sein
(also ein WLAN für Mitarbeiter mit Vollzugriff auf das 192.168.0.0/24 und
eines für Kunden, das eben nur auf die FW zugreifen kann für Internet).

Da ja beide WLAN Kisten am selben Switch hängen und die selben DHCP
Adressen nutzen geht das so ja gar nicht oder? Was bleibt dann noch übrig?
Irgendwie VLANs benutzen vlt.?

[Wordo]

Du brauchst ein zweites VLAN, ja. Eventuell kannst du auch ueber die SSID einen anderen DHCP Pool uebergeben und danach die ACLs machen, kommt aber auf die AccessPoints an.

[ingram333]

Danke weiterhin für deine Hilfe!

Geht das mit dem VLAN überhaupt innerhalb eines Adressbereichs?
Problem ist ja, dass die FW kein Interface mehr frei hat und so nur das
bestehende 192.168.0.0/24 zur Verfügung steht...

Die Access-Points sind von Cisco (WAP4410N), ich hab da nichts gefunden
wo ich den DHCP Server eintragen könnte leider... einzige Option die vlt.
hilfreich ist: "VLAN and QoS", da könnte man ein VLAN ID 1 auf "enable" stellen,
aber kp ob der das vom Switch hat oder man das irgendwie in dem Webinterface
einstellen kann.

Noch eine Idee? Eine Beschränkung der Ports wäre immer noch das einfachste in
meiner Vorstellung, aber das scheint ja nicht so einfach zu gehen...

[Wordo]

Du hast aber 2 SSID's oder?

[ingram333]

ja, sind zwei verschiedene SSID's aber im selben Netzbereich und selber DHCP Server.