opfo 10 Geschrieben 18. November 2009 Melden Teilen Geschrieben 18. November 2009 Hallo zusammen, in einem Gebäude gibt es folgende Cisco Hardware: - 1x Catalyst 3750 ( Routinginstanz ) - 3x Catalyst 2960 - 2x WAN Anbindung ( im HSRP ) In diesem Gebäude existieren bereits mehrere VLANs, welche geroutet werden ( über 3750 ). Der Zugriff unter diesen VLANs ist nicht reglementiert. Jetzt sollen aber weitere VLANs ( ca. 10 ) definiert werden, welche untereinander und zu den bereits bestehenden VLANs keinen Zugriff haben dürfen. In jedes dieser VLANs werden ca. 3-5 Geräte eingebunden. Diese Geräte möchte ich in die bestehende Infrastrucktur einbinden. ( Switche haben noch genügend freie Ports ). Ziel soll es sein, dass jedes Gerät innerhalb eines VLANs nur mit einer bestimmten IP Adresse oder einem bestimmten Subnetz kommunizieren kann. ( Auch über die WAN Strecke hinweg) Frage: sollte ich dies mittels einer ASA 5505 oder 5510 lösen, oder geht dies auch per ACL, bzw. welche Vorteile würde mir eine ASA bringen? Vielen Dank für eure Unterstüzung Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 19. November 2009 Melden Teilen Geschrieben 19. November 2009 das kommt darauf an :) ich sage mal wenn es wirklich zu 100% sicher ist das die VLANS nie untereinander (also jetzt die neuen mit den alten) kommunzieren und auch keine Dienste nach draussen anbieten, dann köntne man schon mit einer ACL leben. Ab dem Moment wo da irgendwelche Server drin sind die von draussen erreichbar sind oder Zugriffen zwischen den VLAN notwendig sind ist eine Firewall schon besser bzw ist es fahrlässig keine FW davor zu haben. Vor allem weiß ich nicht wie ein 3750 die ACL handlet, wenn das CPU lastig ist sollte man das filtern nicht unbedingt auf seiner zentralen Routinginstanz haben. ich hab jetz absichtlich nicht ASA geschrieben, die Firewallentscheidung hängt von zig Punkten ab Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 19. November 2009 Melden Teilen Geschrieben 19. November 2009 Sogar der 3560 macht schon fast alle ACL's in Hardware, fuer die Sachen oben sollte das reichen, aber wie erwaehnt gibts mit NAT etc. Probleme. Hier kommts auch auf die Performance an, wenns der Switch in Hardware macht hast du Wirespeed, bei Gigabit brauchst du schon ne ASA 5550, kostet ca. 10k. Zitieren Link zu diesem Kommentar
opfo 10 Geschrieben 26. November 2009 Autor Melden Teilen Geschrieben 26. November 2009 noch eine Frage: kann ich mittels einer ACL auf einem Catalyst 3750 z.B: eine ssh Verbindung kontrollieren? Beispiel: ein Client 192.168.1.1/24 soll eine ssh Session zu der IP Adresse 192.168.10.1/24 aufbauen. Beide Subnetze werden durch den Catalyst geroutet. Definiere ich nun für das entsprechende VLAN Interface eine Outbound ACL, dann erlaube ich ssh von der IP 192.168.10.1 zur 192.168.1.1. Die ssh Session soll aber nur von der IP Adresse 192.168.1.1 aufgebaut werden dürfen. Die IP 192.168.10.1 darf keine SSH Session initiieren. Kann ich dies per ACL realisieren? Firmware 3750: "(C3750-IPBASE-M), Version 12.2(35)SE5" Im Voraus schonmal ein Dankeschön für eure Hilfe. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. November 2009 Melden Teilen Geschrieben 26. November 2009 natürlich Zitieren Link zu diesem Kommentar
opfo 10 Geschrieben 26. November 2009 Autor Melden Teilen Geschrieben 26. November 2009 wenn du mir jetzt noch sagst wie, wäre ich glücklich :-) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 26. November 2009 Melden Teilen Geschrieben 26. November 2009 Dazu sagst du uns entweder die genauen VLAN's und IP's oder suchst bei cisco.com nach "Catalyst 3750 configuration guide" .. da stehts auch drin :) Zitieren Link zu diesem Kommentar
opfo 10 Geschrieben 26. November 2009 Autor Melden Teilen Geschrieben 26. November 2009 VLAN 100: 192.168.1.0/24, Gateway 192.168.1.254 Client IP: 192.168.1.1 VLAN 150: 192.168.10.0/24, Gateway 192.168.10.254 Server IP:192.168.10.1 SSH Zugriff auf den Server mit der IP 192.168.10.1 darf nur von der IP Adresse 192.168.1.1 initiiert werden. Der Server selbst darf keine SSH Session zu anderen IPs aufbauen. Parallell schaue ich mir natürlich auch noch den Konfig Guide an. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. November 2009 Melden Teilen Geschrieben 26. November 2009 tjo, und sonst clients in den netzen ? je nachdem wo weniger freigeschaltet werden muss, dort würde ich ansetzen. hier für dein Anliegen access-list 100 permit tcp host 192.168.1.1 host 192.168.10.1 eq 22 access-list 100 deny tcp any host 192.168.10.1 eq 22 access-list 100 permit ip any any access-list 101 permit tcp established access-list 101 deny tcp host 192.168.10.1 any eq 22 access-list 101 permit ip any any int vlan 150 ip access-group 100 out ip access-group 101 in interessant wirds dann halt bei prokollen die dynamisch weitere Ports aushandeln, ftp oder nfs, da wäre dann CBAC angesagt, da weiß ich allerdings nciht ob das der Switch kann Zitieren Link zu diesem Kommentar
opfo 10 Geschrieben 26. November 2009 Autor Melden Teilen Geschrieben 26. November 2009 ging ja schnell. Super, vielen Dank. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.