- RSS-Feed abonnieren
- Thema als neu kennzeichnen
- Thema als gelesen kennzeichnen
- Diesen Thema für aktuellen Benutzer floaten
- Lesezeichen
- Abonnieren
- Drucker-Anzeigeseite
Re: GS716Tv3 - VLAN-Routing nur in eine Richtung
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Hallo,
wir haben eine SRX5308 und einen GS716T. In der Firewall sind zwei VLANs eingerichtet
VLAN1: 192.168.1.0/24 (Port 1)
VLAN10: 192.168.10.0/24 (Port 2)
und das Inter-VLAN-Routing aktiviert.
Im Switch gibt es diese VLANs ebenfalls. Welche ACL müssen definiert werden, damit der Zugriff von Geräten in VLAN1 auf Geräte in VLAN10 möglich ist, umgekehrt aber nicht?
Sind außer den ACL eventuell noch weitere Einstellungen nötig?
Besten Dank im Voraus
Gelöst! Gehe zu Lösung.
Akzeptierte Lösungen
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.
Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.
Alle Antworten
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Re: GS716Tv3 - VLAN-Routing nur in eine Richtung
Hallo @Retired_Member,
und willkommen in der NETGEAR Community.
Du kannst die Kommunikation zwischen VLANs mit IP ACL blockieren. Dafür kannst Du entweder die Permit ACL erstellen, um nur die gewünschte IP Adressen zu erlauben, oder eine Deny Regel, um zum Beispiel das ganze Subnetz zu sperren.
- Erstelle eine IP ACL ID (Securtity - ACL - IP ACL)
- Konfiguriere und füge die Regeln für die ACL hinzu (Security - ACL - IP ACL - IP Extended Rules)
- Binde die "Inbound ACL" an die passenden Ports (Security - ACL - IP ACL - IP Binding Configuration)
Ich würde Dir folgende Anleitung vorschlagen.
Beachte bitte, dass Wildcard Netzwerkmasken müssen für die IP ACL verwendet werden.
Der Switch setzt automatisch eine Standard Deny Regel als die letzte Regel einer beliebigen ACL.
Hier findest Du weitere IP ACL Beispiele.
Grüße
Slas
NETGEAR Community Team
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Re: GS716Tv3 - VLAN-Routing nur in eine Richtung
Hallo Slas,
vielen Dank für die Antwort.
Vielleicht habe ich mich nicht klar genug ausgedrückt. Wir möchten einen "one-way access" zwischen zwei VLAN einrichten, wie z.B. in diesem Beispiel beschrieben: How do I use the web interface on my managed switch to configure one-way access using a TCP flag in ...
Beim GS716T gibt es aber anscheinend keine Möglichkeit, die entsprechenden TCP Flags in der ACL zu setzen. Lässt sich das mit diesem Switch trotzdem irgendwie realisieren?
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Re: GS716Tv3 - VLAN-Routing nur in eine Richtung
Hallo @Retired_Member,
Du kannst die IP ACL auf dem aktuellen Switch realisieren, auch wenn TCP Flag Option nicht vorhanden ist.
Ich schicke Dir gleich eine PN.
Grüße
Slas
NETGEAR Community Team
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.
Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.
- Als neu kennzeichnen
- Lesezeichen
- Abonnieren
- RSS-Feed abonnieren
- Kennzeichnen
- Anstößigen Inhalt melden
Re: GS716Tv3 - VLAN-Routing nur in eine Richtung
Hallo @Retired_Member,
vielen Dank für Deine Rückmeldung.
Nach ein paar Testversuchen mit @gier mussten wir feststellen, das der aktuelle GS716T für die gewünschte ACL Konfiguration leider nicht ausreichend ist.
Grüße
Slas
NETGEAR Community Team