HP Procurve 5406zl - ACL-Problem

Ich habe ein Problem mit einer ACL auf einer VLAN-Schnittstelle. Ich habe die Dokumentation von HP hier befolgt: http://h20628.www2.hp.com/km-ext/kmcsdirect/emr_na-c02609963-3.pdf

Ich möchte Folgendes tun:

VLAN 101 sollte nur mit VLAN 50 kommunizieren können - keine anderen VLANs, kein Internetzugang.

Anfangs habe ich die folgende Zugriffsliste ausprobiert:

ip access-list extended "SecureContent"
    10 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255
    20 remark "SecurityVLAN"

Ich habe diese ACL mit dem folgenden Befehl auf VLAN 101 "in" angewendet:

  vlan 101
    ip access-group "SecureContent" in

Diese Konfiguration führt zu einer Nullkommunikation in diesem VLAN: Die IP von 192.168.101.2 an Port A1 kann 192.168.101.1, die Switch-VLAN-IP, nicht anpingen. Wenn ich die Zugriffsliste in ändere:

10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255 
20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255

... dies führt dazu, dass Clients im VLAN ihr Standard-Gateway anpingen können, nicht jedoch das 50.1-Gateway. Das macht für mich keinen Sinn - die VLAN 101-IP-Schnittstelle sollte logisch "innerhalb" dieses VLAN 101 betrachtet werden, richtig?

Ich habe verschiedene Versionen dieser Zugriffsliste ausprobiert und bin sogar so weit gegangen, nur eine Standardzugriffsliste zu erstellen, die eine einzelne IP blockiert, aber alles andere mit der Anweisung "allow ip any any" zulässt - und dies führt immer noch zu null Inter- oder Intra- VLAN-Verkehr - Der Host in diesem VLAN kann nicht einmal sein eigenes Gateway anpingen, wenn ich die Liste in eingehender Richtung anwende (ich habe auch eine Variante in ausgehender Richtung ausprobiert - genau das gleiche Ergebnis!)

Unten ist die Switch-Konfiguration:

    Running configuration:

; J8697A Configuration Editor; Created on release #K.15.09.0012
; Ver #03:01.1f.ef:f2
hostname "HP-5406zl"
module 1 type j8702a
module 2 type j8708a
module 3 type j9546a
module 4 type j8708a
power-over-ethernet pre-std-detect
ip access-list extended "SecureContent"
     10 permit ip 192.168.101.1 0.0.0.255 192.168.101.1 0.0.0.255
     20 permit ip 192.168.50.1 0.0.0.255 192.168.101.1 0.0.0.255
   exit
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip routing
snmp-server community "public" unrestricted
snmp-server contact "Person" location "Place"
vlan 1
   name "DEFAULT_VLAN"
   no untagged A1-A20,A23-A24,B1-B4,C1-C8,D1-D4
   untagged A21-A22
   ip address 192.168.1.10 255.255.255.0
   jumbo
   exit
vlan 50
   name "Editors"
   untagged A2-A19,B1-B3,C1-C8,D1-D4
   tagged A23-A24
   ip address 192.168.50.1 255.255.255.0
   jumbo
   exit
vlan 100
   name "IO"
   tagged A23-A24
   ip address 192.168.100.1 255.255.255.0
   exit
vlan 101
   name "SecureContent"
   untagged A1
   ip address 192.168.101.1 255.255.255.0
   ip access-group “SecureContent” in
   exit
vlan 200
   name "Corp"
   tagged A23-A24
   ip address 192.168.200.1 255.255.255.0
   ip helper-address 192.168.50.2
   exit
vlan 800
   name "IT"
   untagged A23-A24
   ip address 172.17.0.1 255.255.255.0
   exit
vlan 899
   name "DMZ"
   untagged B4
   tagged A23-A24
   ip address 172.18.0.1 255.255.255.0
   jumbo
   exit
vlan 900
   name "Routed"
   untagged A20
   tagged A23-A24
   ip address 172.16.0.2 255.255.255.252
   exit
vlan 999
   name "VLAN999"
   no ip address
   exit

BEARBEITET, um relevante Gehäuseinformationen hinzuzufügen:

  Software revision  : K.15.09.0012         Base MAC Addr      : 002561-f80000
  ROM Version        : K.15.30              Serial Number      : XXXXXXXX
  Allow V1 Modules   : Yes     

         Opacity Shields    : Not Installed

Vielen Dank im Voraus für Ihre Hilfe!

Gemäß dem Access Security Guide für Ihr Gerät ist die erste Adresse und Maske eines ACE die Quelle und die zweite Adresse und Maske das Ziel. (Nur für den Fall, dass ein ACE ein Zugriffssteuerungseintrag ist; das ist eine beliebige Zeile, aus der eine Zugriffsliste besteht.)

ACE 20 Ihrer ACL-Statusquelle 192.168.50.0/24 und Ziel 192.168.101.0/24, dann wenden Sie die ACL am VLAN 101-Eingang an. Ihr VLAN 101 ist jedoch 192.168.101.0/24, sodass jeder Eingangsverkehr in VLAN 101 die Quelladresse in 192.168.101.0/24 haben würde. Wenn ACE 20 in Ihrer ACL falsch ist, benötigen Sie einen ACE mit Aktionserlaubnis, Quelle 192.168.101.0/24 und Ziel 192.168.50.0/24.

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255

In Bezug auf den Rückweg für diesen Verkehr wird VLAN 101 ausgehend gekreuzt, daher sollte ACL nicht auf diesen Verkehr angewendet und zugelassen werden.

Wenn kein Rückverkehr zulässig ist, müssen Sie den Rückweg in Ihre ACL einfügen.

ip access-list extended "SecureContent"
    10 permit ip 192.168.101.0 0.0.0.255 192.168.50.0 0.0.0.255
    20 permit ip 192.168.50.0 0.0.0.255 192.168.101.0 0.0.0.255

BEARBEITET, um die obige Zeile zu ändern und die korrekte ACL-Struktur der nummerierten Einträge widerzuspiegeln. (10, 20 usw.).

Es sieht so aus, als ob dieses Problem auf die Art und Weise zurückzuführen ist, wie HPs Netzwerkgeräte ACLs im Vergleich zu Cisco (das ist mein Netzwerkhintergrund) handhaben.

Gemäß diesem Dokument sind HP ACLs zustandslos und müssen bidirektionale Verkehrseinträge enthalten (für Ursprungs- und Rückverkehr): http://tinyurl.com/qbfemk6 (Link zu PDF auf der HP Website).

Dies steht im Gegensatz zum obigen Handbuch für erweitertes Verkehrsmanagement, in dem Konfigurationsbeispiele angezeigt werden, die diese "Eigenart" nicht implementieren oder berücksichtigen: Die Beispiele enthalten keine derartigen Einträge für den Rückverkehr.

Gelernte Lektionen: Vertrauen Sie nicht darauf, dass die Herstellerdokumentation konsistent und genau ist.