[Çözüldü] Hp Access List yazma

Merhaba,

Sadece source ip ye göre ACL yazacaksanız Standart işinizi görür, hem source hem destination ip hem de port bilgisine göre yazacaksanız Extended ACL yazmalısınız.

Bahsettiğiniz durum için Extended ACL kullanmalısınız.

Aşağıdaki link yardımcı olacaktır.

https://techhub.hpe.com/eginfolib/networking/docs/switches/RA/15-18/5998-8151_ra_2620_asg/content/ch10s05.html

İlgili VLAN ların sonlandığı switch üzerinde hangi vlanlara erişilmesini veya erişilmemesini istiyorsanız inbound/outbound yönünde ACL uygulamalısınız. 

@erdemavci

merhaba

benim istediğim bizde 4 tane vlan var. bunlardan bir tanesi kamera vlan. kamera vlan 30   ip grubu 30.20.50.0 /23. burada değiğim gibi bir 

kamera server var. 30.20.50.12 ve 13. bu kamera server'ı 6 tane güvenlik noktasından izleniyor. 6 güvenlik noktasındaki vlan 10 ve 20.20.50.12 ile 18 arası ip. bunlar bu kamera server'ı erişecekler.

Dediğiniz gibi extendet olacak.

bu duruma göre nasıl bir kural yazmalıyım. örnek yazabilirmisiniz

Aşağıdaki örnek ACL ile 20.20.50.0/24 subnetinden 30.20.50.0/24 subnetindeki cihazların tcp/80 portune erişim sağlanabilir.

Bunun dışında bu subnetteki ipler hiç bir yere tcp bağlantı kuramazlar.

"ip access-list extended "CAM"
10 permit tcp 20.20.50.0 0.0.0.255 30.20.50.0 0.0.0.255 eq 80
20 deny tcp 20.20.50.0 0.0.0.255 0.0.0.0 255.255.255.255
exit

vlan 10
ip access-group CAM in"

Switch markasına göre komutlar değişebilir, ancak temel mantık bu şekilde. Siz kendinize göre düzenleyebilirsiniz.

@erdemavci

Hocam cevabınız için teşekkürler. bu duruma göre  30.20.50.0 /23  ip grubuna sahip bir ip örneğin 30.20.50.19 sadece kendi 

ip aralığındaki cihazlarla iletişim kurabilir. başka bir yere ping dahi atamazlar doğrumu.

ACL bu şekilde yazıldı ise evet doğru, örnek bir kamera vlan acl komutları aşağıdaki gibidir, şimdi başka bir post için yazdım, bu post içinde ekleme yapmak istedim.

Merhaba,

Öncelikle yeni bir vlan oluşturmanız gerekli

config
vlan 10
name Kamera_VLAN
exit

Daha sonra bu VLAN' a swtich üzerindeki hangi portların erişeceğine karar verin, örneğin ilk iki port buraya ulaşacak ise;

config
interface 1-2
vlan 10 untagged
exit

Daha sonra bu vlan için boş bir ip havuzunu atayın, ama unutmayın bu ip adresini bu vlan içerisindeki cihazlar kullanmalı, bu da aslında mevcut yapınızda segmentasyon yapmak demektir. Bence başlamışken önce sunucu, istemci, kamera, printer gibi ayırırsanız daha doğru olur.

vlan 10
ip address 192.168.2.1 255.255.255.0
exit

Belirli IP adreslerine erişimi kontrol etmek için bir ACL oluşturmanız gerekecek. Örneğin sadece 192.168.2.10 ve 192.168.2.11 IP adreslerinin Kamera VLAN'ına erişmesine izin vermek istiyorsanız aşağıdaki gibi bir ACL oluşturabilirsiniz:

config
ip access-list extended Kamera_ACL
permit ip 192.168.2.10 255.255.255.255 any
permit ip 192.168.2.11 255.255.255.255 any
deny ip any any
exit

Son olarak bu ACL' i ilk tanımladığınız VLAN' a atamanız gerekli,

vlan 10
ip access-group Kamera_ACL in
exit

Not: eğer tek bir komut satırında hepsini yapacaksanız sürekli exit yazmanıza gerek yok. config ile başlayıp devam edebilirsiniz, en son exit ile çıkarsınız.