Frittenbude 10 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 Hallo zusammen, wir nutzen einen Switch-Stack bestehend aus 3 C3750 bei einem Kunden. Allerdings gibt es Probleme mit ACLs, die scheinbar nicht richtig funktionieren. Zwischen verschiedenen VLANs sollen ACLs greifen, welche automatisch mit Hilfe von reflected ACLs die Rückroute jeder aufbauenden Verbindung erlauben sollen. Leider greifen die Regeln auf dem Switch-Stack überhaupt nicht. Im Normalfall wird durch den Befehl "show access-lists" ein Match für jede Regel angezeigt, die bei der Regelüberprüfung zutreffend war. Matches werden merkwürdigerweise ausschließlich bei einem Deny angezeigt, sofern dieser zutreffend war. Permits erhalten quasi keine Matches. Auch wird beim Verbindungsaufbau (bei der Regel für ausgehenden Verkehr) kein Eintrag in der dynamischen Liste erzeugt, was schon nicht normal ist. Das wäre eigentlich auch kein Problem. Jedoch greifen, trotz richtiger Konfiguration, die Regeln für die Rückroute (mit dynamischen ACLs auf Basis von Reflective ACLs) nicht. Nun haben wir einen baugleichen Switch in Grundkonfiguration genommen und ebenfalls solche Regeln (inkl. Reflective ACLs) auf diesem programmiert. Hier funktioniert alles einwandfrei. Auch Matches werden auf Permits angezeigt. Muss auf dem Switch eine Besonderheit beachtet werden? Wenn es Euch hilft, die Konfiguration des Switches zu sehen, kann ich sie hier verfremdet posten. Ich wäre Euch sehr dankbar, wenn Ihr mir einen Tipp geben könntet. Gruß, Frittenbude Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 auch gleiches IOS auf beiden Geräten ? Zitieren Link zu diesem Kommentar
Frittenbude 10 Geschrieben 20. Mai 2009 Autor Melden Teilen Geschrieben 20. Mai 2009 Ich war vorhin etwas vorschnell mit der Behauptung, es würde auf dem Test-Switch funktionieren. Besser ist es, wenn ich doch mal eine Beispielkonfig poste: Current configuration : 1874 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch ! ! no aaa new-model switch 1 provision ws-c3750-24ts system mtu routing 1500 ip subnet-zero ip routing ! ! ! ! no file verify auto spanning-tree mode pvst ! vlan internal allocation policy ascending ! interface FastEthernet1/0/1 switchport access vlan 18 switchport mode access ! interface FastEthernet1/0/2 ! interface FastEthernet1/0/3 switchport access vlan 17 switchport mode access ! interface FastEthernet1/0/4 ! interface FastEthernet1/0/5 ! interface FastEthernet1/0/6 ! interface FastEthernet1/0/7 ! interface FastEthernet1/0/8 ! interface FastEthernet1/0/9 ! interface FastEthernet1/0/10 ! interface FastEthernet1/0/11 ! interface FastEthernet1/0/12 ! interface FastEthernet1/0/13 ! interface FastEthernet1/0/14 ! interface FastEthernet1/0/15 ! interface FastEthernet1/0/16 ! interface FastEthernet1/0/17 ! interface FastEthernet1/0/18 ! interface FastEthernet1/0/19 ! interface FastEthernet1/0/20 ! interface FastEthernet1/0/21 ! interface FastEthernet1/0/22 ! interface FastEthernet1/0/23 ! interface FastEthernet1/0/24 ! interface GigabitEthernet1/0/1 ! interface GigabitEthernet1/0/2 ! interface Vlan1 ip address 172.16.1.220 255.255.240.0 ! interface Vlan17 ip address 172.17.1.1 255.255.255.0 ip access-group OUTBOUND out ip access-group INBOUND in ! interface Vlan18 ip address 172.18.1.1 255.255.255.0 ! interface Vlan19 ip address 172.19.1.1 255.255.255.0 ! ip classless ip http server ! ip access-list extended OUTBOUND evaluate TO_REFLECT ip access-list extended INBOUND permit tcp any any reflect TO_REFLECT permit udp any any reflect TO_REFLECT ! snmp-server community public RO snmp-server enable traps license ! control-plane ! ! line con 0 line vty 5 15 ! end Es geht darum, dass aus dem Netz 172.17.1.0/24 nach 172.18.1.0/24 beispielhaft kommuniziert werden soll. Die dynamische Refection-Liste wird nur für einen Spezialfall gefüllt. Dieser wäre, wenn ich vom System 172.17.1.10 nach 172.18.1.1 (Schnittstelle VLAN18 des Switches) beispielsweise einen Ping absetze. Sobald ich jedoch einen Host an einem Port mit VLAN18 versuche zu erreichen, wird keine dynamische Regel erzeugt. Die Rückroute funktioniert dementsprechend auch nicht. Der Vollständigkeithalber zur Information: Die Kommunikation zwischen den Netzen funktioniert, wenn ACLs nicht aktiv sind. Im Prinzip werden die reflexiven ACLs richtig in diesem Fall verwendet, richtig? Gruß, Frittenbude Zitieren Link zu diesem Kommentar
Frittenbude 10 Geschrieben 20. Mai 2009 Autor Melden Teilen Geschrieben 20. Mai 2009 Die Sache hat sich wohl gerade erledigt. Der Switch unterstützt reflexive ACLs doch nicht, obwohl die Option im IOS zur Verfügung steht: Reflexive ACL on 3750 Catalyst 3750 Switch Software Configuration Guide, 12.2(40)SE - Configuring IPv6 ACLs [Cisco Catalyst 3750 Series Switches] - Cisco Systems Gruß, Frittenbude Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Mai 2009 Melden Teilen Geschrieben 20. Mai 2009 na dann hat sich das erledigt :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.