Deutschsprachiges Forum

Reply
New Contributor

ACL-Problem AP zu Controller

Liebe Community,

 

wir haben bei uns im Produktiven Netz das Problem, dass sich die AP nicht den Controller erreich.

 

Sobald wir unsere ACL jedoch entfernen, kriegt der AP ohne Probleme den Weg zum Controller. Wir wollen jedoch die ACL nicht entfernen, könnte evtl jemand wissen, woran das ganze liegen könnte?

 

Verbesserungsvorschläge, sowie Ratschläge wären sehr gerne gesehen und ich bedanke mich bereits jetzt schon für eure Hilfe!

 

ACL:

Spoiler

! *****************************************************************
! Konfiguration der ACLs N7-aruba-AP-in und -out
!
! Wird verwendet in: Nexus7000

!
! ACL fuer Verkehr von den AP-VLANs ins Internet/Campus-Netz:
!
configure session acl
!
no ip access-list N7-aruba-AP-in
ip access-list N7-aruba-AP-in
!
! UDP zwischen APs und DNS-Servern gesamt:
10 permit udp addrgroup aruba-ap addrgroup dns-serv
! DHCP-Request DHCP-client zu DHCP-server:
20 permit udp any eq 68 any eq 67
! icmp gesamt durchlassen:
30 permit icmp addrgroup aruba-ap any
! von aruba-ap zu den Controllern gesamt IP und gre zulassen:
40 permit ip addrgroup aruba-ap addrgroup aruba-mc
50 permit gre addrgroup aruba-ap addrgroup aruba-mc
!
60 remark ==== Rest abklemmen:
70 deny ip any any
!
exit
!
! ------------------------------------------------------------------
! ACL fuer Verkehr vom Internet/Campus-Netz in die N7-aruba-AP-VLANs:
!
no ip access-list N7-aruba-AP-out
ip access-list N7-aruba-AP-out
!
! UDP zwischen APs und DNS-Servern gesamt:
10 permit udp addrgroup dns-serv any
! Zugriff DHCP-server zu DHCP-client:
20 permit udp any eq 67 any eq 68
! icmp komplett durchlassen:
30 permit icmp any addrgroup aruba-ap
! von aruba-controllern zu ap gesamt IP und gre zulassen:
40 permit ip addrgroup aruba-mc addrgroup aruba-ap
50 permit gre addrgroup aruba-mc addrgroup aruba-ap
!
60 remark ==== Rest abklemmen:
70 deny ip any any
!
verify verbose
!
commit


Mit freundlichen Grüßen

 

Ö.Kocer

MVP

Re: ACL-Problem AP zu Controller

Erste fragen - wenn die APs nicht durchkommen mit aktiven ACL - was wird im firewall blockiert ?

scheint alles gut abgedeckt zu sein.

 

ist CPSEC eingeschaltet ?

Ergibt den controller irgendwelche log meldung ? (show log sys)

Wie finden die APs den controller ? DHCP opt-43 ? DNS ? statisch ?

 

Bedeutet GRE - UDP 47 ? Aruba GRE ist nicht unbedingt GRE wie von Firewall bekannt ist...

 

Deckt "aruba-mc" die Controller (MD und MM) addressen ab ?

 

https://community.arubanetworks.com/t5/Controller-Based-WLANs/What-is-the-minimum-firewall-configuration-to-allow-my-AP-to/ta-p/178046

 

  • DHCP (UDP 67 & 68)
  • FTP(TCP 21 & 22)
  • TFTP (UDP port 69)
  • NTP (UDP port 123)
  • SYSLOG (UDP port 514)
  • PAPI (UDP port 8211)
  • GRE (protocol 47)
  • UDP 4500 (IPSEC for CPSEC

 

Shawn Adams
Aruba Networks Customer Advocacy
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: