作者alan7atptt (alan7)
看板Network
标题[问答] ACL vs ARP
时间Mon Apr 23 04:13:03 2012
想询问诸位大大们是否有可能出现以下状况
架构是 router->switch->user
switch底下有设定ACL去绑定port只能使用特定IP能往上送
但ARP的资讯不论你设定甚麽IP还是被送上了router
我有稍微查询过设备的ACL主要是针对Layer3层级以上的封包去过滤
所以这种状况是否有可能发生呢?
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.132.21.244
1F:→ JacksonN:就目前所学做解释,有错请指教: ARP是ip转MAC address 04/23 09:12
2F:→ JacksonN:的协定,所以switch上的介面是用switchport指令绑MAC 04/23 09:13
3F:→ JacksonN:而ACL是在router上控制介面的进或出 看是permit or deny 04/23 09:15
4F:→ JacksonN:依题意来看你是要绑port跟ip address而不是MAC address 04/23 09:21
5F:→ JacksonN:所以只要在router上设ACL deny那个port ip 而其他permit 04/23 09:22
6F:→ alan7atptt:现在是因为有ACL 但却出现抢IP状况我才这样问 04/23 11:32
7F:→ JacksonN:如果IP共用情况下那设ACL没用,要在SWITCH上设绑MAC 04/23 11:43
8F:→ JacksonN:ACL是绑来源IP address 通讯埠(80,23,etc)无法绑MAC add 04/23 11:46
9F:推 zaknafein:不是很懂你要问啥 你是要说ACL挡不住吗? 04/23 14:15
10F:→ zaknafein:如果有人盗用 IP Address, 他还是会回应别人送的Arp 04/23 14:16
11F:→ zaknafein:Request, 因为他回送的arp reply是L2协定 04/23 14:17
12F:→ zaknafein:如果你switch 是用 ip access-list 一定挡不住 04/23 14:18
13F:→ alan7atptt:y, Z大回答到我想确认的事情了 不过arp是介於2 3之间 04/23 15:51
14F:→ alan7atptt:所以我想说还是问看看确认一下 04/23 15:51