PTT數位生活區 / Network

[問答] ACL vs ARP

看板Network作者 (alan7)時間13年前 (2012/04/23 04:13), 編輯推噓1(1013)
留言14則, 3人參與, 最新討論串1/2 (看更多)
想詢問諸位大大們是否有可能出現以下狀況 架構是 router->switch->user switch底下有設定ACL去綁定port只能使用特定IP能往上送 但ARP的資訊不論你設定甚麼IP還是被送上了router 我有稍微查詢過設備的ACL主要是針對Layer3層級以上的封包去過濾 所以這種狀況是否有可能發生呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.21.244
04/23 09:12, , 1F
就目前所學做解釋,有錯請指教: ARP是ip轉MAC address
04/23 09:12, 1F
04/23 09:13, , 2F
的協定,所以switch上的介面是用switchport指令綁MAC
04/23 09:13, 2F
04/23 09:15, , 3F
而ACL是在router上控制介面的進或出 看是permit or deny
04/23 09:15, 3F
04/23 09:21, , 4F
依題意來看你是要綁port跟ip address而不是MAC address
04/23 09:21, 4F
04/23 09:22, , 5F
所以只要在router上設ACL deny那個port ip 而其他permit
04/23 09:22, 5F
04/23 11:32, , 6F
現在是因為有ACL 但卻出現搶IP狀況我才這樣問
04/23 11:32, 6F
04/23 11:43, , 7F
如果IP共用情況下那設ACL沒用,要在SWITCH上設綁MAC
04/23 11:43, 7F
04/23 11:46, , 8F
ACL是綁來源IP address 通訊埠(80,23,etc)無法綁MAC add
04/23 11:46, 8F
04/23 14:15, , 9F
不是很懂你要問啥 你是要說ACL擋不住嗎?
04/23 14:15, 9F
04/23 14:16, , 10F
如果有人盜用 IP Address, 他還是會回應別人送的Arp
04/23 14:16, 10F
04/23 14:17, , 11F
Request, 因為他回送的arp reply是L2協定
04/23 14:17, 11F
04/23 14:18, , 12F
如果你switch 是用 ip access-list 一定擋不住
04/23 14:18, 12F
04/23 15:51, , 13F
y, Z大回答到我想確認的事情了 不過arp是介於2 3之間
04/23 15:51, 13F
04/23 15:51, , 14F
所以我想說還是問看看確認一下
04/23 15:51, 14F
更多 alan7atptt 的文章
文章代碼(AID): #1Fb6PH4X (Network)
討論串 (同標題文章)
以下文章回應了本文
完整討論串 (本文為第 1 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
1
14
[問答] ACL vs ARP
alan7atptt
13年前, 04/23
在新視窗開啟完整討論串 (共2篇)
Network 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 alan7atptt 的文章
文章代碼(AID): #1Fb6PH4X (Network)