[問答] ACL vs ARP

作者alan7atptt (alan7)

看板Network

標題[問答] ACL vs ARP

時間Mon Apr 23 04:13:03 2012

想詢問諸位大大們是否有可能出現以下狀況架構是 router->switch->user switch底下有設定ACL去綁定port只能使用特定IP能往上送但ARP的資訊不論你設定甚麼IP還是被送上了router 我有稍微查詢過設備的ACL主要是針對Layer3層級以上的封包去過濾所以這種狀況是否有可能發生呢? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.21.244

→ JacksonN:就目前所學做解釋，有錯請指教: ARP是ip轉MAC address 04/23 09:12

→ JacksonN:的協定，所以switch上的介面是用switchport指令綁MAC 04/23 09:13

→ JacksonN:而ACL是在router上控制介面的進或出看是permit or deny 04/23 09:15

→ JacksonN:依題意來看你是要綁port跟ip address而不是MAC address 04/23 09:21

→ JacksonN:所以只要在router上設ACL deny那個port ip 而其他permit 04/23 09:22

→ alan7atptt:現在是因為有ACL 但卻出現搶IP狀況我才這樣問 04/23 11:32

→ JacksonN:如果IP共用情況下那設ACL沒用，要在SWITCH上設綁MAC 04/23 11:43

→ JacksonN:ACL是綁來源IP address 通訊埠(80,23,etc)無法綁MAC add 04/23 11:46

推 zaknafein:不是很懂你要問啥你是要說ACL擋不住嗎? 04/23 14:15

→ zaknafein:如果有人盜用 IP Address, 他還是會回應別人送的Arp 04/23 14:16

→ zaknafein:Request, 因為他回送的arp reply是L2協定 04/23 14:17

→ zaknafein:如果你switch 是用 ip access-list 一定擋不住 04/23 14:18

→ alan7atptt:y, Z大回答到我想確認的事情了不過arp是介於2 3之間 04/23 15:51

→ alan7atptt:所以我想說還是問看看確認一下 04/23 15:51