Client isolation via SwitchACLs?

Alles rund um Netzwerktechnik und Protokolle
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Client isolation via SwitchACLs?

Post by /dev/null »

Hat das schon mal jemand realisiert?

Ich bin bei dem Thema ein echter newbie... :-/

Was ich erreichen möchte:
Ein /24ziger Netz liegt in einem VLAN, ich möchte nun verhindern, dass Clients innerhalb dieses VLANs miteinander kommunizieren bzw. eigentlich möchte ich, dass nur Pakete zwischen Client und GW, also dem Layer3-Switch hin und her gehen können.

Wie ich mir das vorstelle:
Mit SwitchACLs...

Aber so wirklich plan davon hab ich nicht! :-(
Es handelt sich um einen recht guten Ciscoswitch, der sowohl ACLs auf MAC, als auch IP-Ebene anbietet.

Kann mir da jemand "Starthilfe" geben?

BG
/dev/null
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Client isolation via SwitchACLs?

Post by /dev/null »

Keiner? :-(
User avatar
rudelgurke
Posts: 408
Joined: 2008-03-12 05:36

Re: Client isolation via SwitchACLs?

Post by rudelgurke »

Vielleicht Keiner der hilfreich sein kann ;)

Kurz - ich würde für so etwas eher ein Handling über die Firewall empfehlen. Je nachdem was verwendet wird, wenn Zonen unterstützt werden einfach das VLAN in eine eigene Zone packen, Intra-Zone Traffic verbieten und dann je nach Bedarf freischalten.
Experimente mit ACL's auf Switch-Ebene, abseits von VLAN's, hatte - für mich persönlich - mehr das Gefühl hinterlassen hier wird Firewall-Funktionalität auf den Switch gepackt was, ähnlich wie Switch-Funktionalität auf der Firewall, eher schlecht als recht funktioniert.
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Client isolation via SwitchACLs?

Post by /dev/null »

Hey rudelgurke,

erst mal danke für die Antwort...

So etwas über die Firewall zu machen ist zwar generell möglich aber in meinen Augen nicht praktikabel. In dem Fall bräuchte ich ja pro Client ein VLAN! Oder hab ich da was falsch verstanden?

BG
/dev/null
jan10001
Anbieter
Posts: 733
Joined: 2004-01-02 12:17

Re: Client isolation via SwitchACLs?

Post by jan10001 »

Ja hast du falsch verstanden, wie er sagte, pack das ganze VLAN in eine Zone und für diese Zone definierst du dann die Firewall Regeln.
Diese Regeln gelten dann für das gesamte VLAN, also alle Clients im VLAN.
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Client isolation via SwitchACLs?

Post by /dev/null »

Aber ist das nicht genau die Definition einer Switch ACL? Zumindest hatte ich das genau so verstanden...
jan10001
Anbieter
Posts: 733
Joined: 2004-01-02 12:17

Re: Client isolation via SwitchACLs?

Post by jan10001 »

Nein, für diese art der Anwendung ist eine Switch ACL nicht gedacht.
User avatar
/dev/null
Posts: 149
Joined: 2003-09-11 15:24
Location: Cyberspace

Re: Client isolation via SwitchACLs?

Post by /dev/null »

Sorry wenn ich da noch mal nachharke, aber wie soll das bitte technisch funktionieren?

Ich habe alle Geräte an einem Switch im VLAN X erfolgt ein (TCP/UDP/ICMP/blablabla :D) Zugriff innerhalb dieses VLANs (VLAN in dem Fall auch gleich Subnetz) gehen die Geräte doch gar nicht an ihren Gateway (Firewall) ran. Wie sollen nun also die Regeln greifen? Damit das funktioniert müsste ja jedes Gerät direkt an einem FWPort, oder in einem eigenen VLAN mit der FW als Gateway hängen...

Nicht das wir uns Falsch verstehen... Ich spreche von Client Isolation.
jan10001
Anbieter
Posts: 733
Joined: 2004-01-02 12:17

Re: Client isolation via SwitchACLs?

Post by jan10001 »

Stell dir doch mal die Frage: Wie kann ein Switch wohl die ACL Anweisungen umsetzen, also wie arbeitet es? Machts klick?
Eine Firewall ist nicht nur zum blockieren da. ;-)