VLAN Access Control List (VACL): VLANs abschirmen

Stop - All Way
CC0 | Pixabay.com

IP-Kommunikation mit VLAN Access Control List (VACL) bzw. VLAN-Zugriffssteuerungslisten reglementieren.

IP-Routing verbindet

VLANs ermöglichen grundsätzlich mehrere getrennte, logische IP-Netze innerhalb eines Netzwerks. Wird das VLAN-Standardgateway aber nicht auf einer Firewall, sondern auf einem zentralen Router bzw. Layer-3-Switch konfiguriert, ist das ursprünglich getrennte VLAN wieder für alle erreichbar. Da dies unter anderem aus Performance-Gründen gelebte Praxis ist, muss am Router/Layer-3-Switch mit einer VLAN Access Control List (VACL) nachgeholfen werden.

Ausnahmen bestätigen die Regel: Gäste-WLANs (in einem eigenen VLAN), sollen im Normalfall nur ins Internet, aber nicht ins lokale Netzwerk kommunizieren können. In diesem Fall kann das dafür zuständige VLAN-Standardgateway auf der Firewall liegen. Die Firewallregeln erledigen den Rest.

VLAN Access Control List (VACL) erstellen

VLAN-ACLs bieten zahlreiche Einstellungsmöglichkeiten. Die IP-Destination-Einstellungen stellen eine übersichtliche Lösung dar.

Der Netzwerkaufbau

  • In dem Beispiel wird von einem 192.168.1.0/24 (Subnet 255.255.255.0) ausgegangen.
  • Server sind im Subnet 192.168.1.0 (VLAN-ID 1) angesiedelt.
  • IP der Standardgateways enden mit 254 (im letzten IP-Oktett).
  • Die getrennten Netze sind z.B. 192.168.2.0/24 (VLAN-ID 2), 192.168.3.0/24 (VLAN-ID 3) etc.

Die VACL

ActionMatch EveryDst IPDst IP MaskErklärung
Permitfalse192.168.1.00.0.0.255Kommunikation zu den IPs  192.168.1.1-254 erlaubt
Permitfalse0.0.0.254255.255.255.0Alle IPs mit 254 im letzten IP-Oktett erlaubt (für Standardgateways)
Permitfalse192.168.1.10.0.0.0Nur die eine IP-Adresse erlaubt
Denyfalse192.168.0.00.0.255.255Alle anderen IPs in 192.168.0.0 verweigern
PermittrueAlle anderen IPs erlauben (z.B. Internet)

Die erstellte VLAN-ACL wird anschließend den einzuschränkenden VLANs (z.B. VLAN-ID 2, 3…) zugeordnet.
VLAN-ID 1 wird nicht eingeschränkt, da die Server in alle Subnetze kommunizieren können sollen!

Mehr Ideen für Ihr Netzwerk

LAN-Netzwerkdesign

IT-Security-Basics für Unternehmen

nach oben