作者alan7atptt (alan7)
看板Network
標題[問答] ACL vs ARP
時間Mon Apr 23 04:13:03 2012
想詢問諸位大大們是否有可能出現以下狀況
架構是 router->switch->user
switch底下有設定ACL去綁定port只能使用特定IP能往上送
但ARP的資訊不論你設定甚麼IP還是被送上了router
我有稍微查詢過設備的ACL主要是針對Layer3層級以上的封包去過濾
所以這種狀況是否有可能發生呢?
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.21.244
1F:→ JacksonN:就目前所學做解釋,有錯請指教: ARP是ip轉MAC address 04/23 09:12
2F:→ JacksonN:的協定,所以switch上的介面是用switchport指令綁MAC 04/23 09:13
3F:→ JacksonN:而ACL是在router上控制介面的進或出 看是permit or deny 04/23 09:15
4F:→ JacksonN:依題意來看你是要綁port跟ip address而不是MAC address 04/23 09:21
5F:→ JacksonN:所以只要在router上設ACL deny那個port ip 而其他permit 04/23 09:22
6F:→ alan7atptt:現在是因為有ACL 但卻出現搶IP狀況我才這樣問 04/23 11:32
7F:→ JacksonN:如果IP共用情況下那設ACL沒用,要在SWITCH上設綁MAC 04/23 11:43
8F:→ JacksonN:ACL是綁來源IP address 通訊埠(80,23,etc)無法綁MAC add 04/23 11:46
9F:推 zaknafein:不是很懂你要問啥 你是要說ACL擋不住嗎? 04/23 14:15
10F:→ zaknafein:如果有人盜用 IP Address, 他還是會回應別人送的Arp 04/23 14:16
11F:→ zaknafein:Request, 因為他回送的arp reply是L2協定 04/23 14:17
12F:→ zaknafein:如果你switch 是用 ip access-list 一定擋不住 04/23 14:18
13F:→ alan7atptt:y, Z大回答到我想確認的事情了 不過arp是介於2 3之間 04/23 15:51
14F:→ alan7atptt:所以我想說還是問看看確認一下 04/23 15:51