خب مشکل همین جاست دیگه!!
وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، [B]Source MAC عوض میشه[/B] و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
Printable View
خب مشکل همین جاست دیگه!!
وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، [B]Source MAC عوض میشه[/B] و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
[QUOTE=aliafzalan;256076]خب مشکل همین جاست دیگه!!
وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، [B]Source MAC عوض میشه[/B] و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.[/QUOTE]
آخه چرا سوییچ اینکارو میکنه ؟ مگه مریضه ؟؟
نمیشه یجوری بهش بگیم بی خیال
اینطوری ما بعد از رد شدن از اینترفیس وی لن دیگه کنترلی رو بسته مون نداریم. حالا از هر سیستمی توی اون وی لن اومده باشه !
راستی
[QUOTE]وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، [B]Source MAC عوض میشه[/B] و[/QUOTE]خوب ما که ACL روی Inbound گذاشتیم ! پس هنگام ورود بسته به اینترفیس وی لن ACL اعمال میشه دیگه ! با مبدا چک میشه و اگر اجازه داشت حالا میره بیرون ! موقع بیرون رفتن Source MAC عوض میشه درسته ؟ این همون چیزیه که شما میگید !
[QUOTE]میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.[/QUOTE]
طبق توضیحی که دادم بسته همون در هنگام ورود به ایترفیس وی لن چک شده ! یعنی ACL روی IN بوده و حالا بعد از اینکه اجازه خروج پیدا کرده MAC اش عوض میشه ! یعنی فیلترینگ همون هنگتم ورود انجام شده
اما من فکر میکردم مشکل شما مربوط به مقصده ! یعنی MAC مقصد در ابتدا سرور نیست بلکه اینترفیس وی لن (گیت وی اش) هست پس نمیتونیم بر اساس MAC سرور مقصد کاری انجام بدیم. درسته ؟ اگه این باشه حق با شماست ولی خوب MAC ACL ما در هنگام ورود به اینترفیس وی لن اداری میتونه چک کنه که آیا این سیستم همون ادمین هست یا نه ! درسته ؟ حالا اینکه بعد از اون MAC مبدا رو عوض میکنه صحبت می کنیم فعلا این قسمتش رو توضیح میدید
ببینید فقط چک کردن MAC مبدا ملاک نیست، که شما بخواهید با ACL in جلوش رو بگیرید. از اونجایی که سیستمها در دو شبکه مجزا هستند، شما نمیتونید MAC مبدا و مقصد رو به طور همزمان داشته باشید و اونها رو چک کنید، پس برآورده شدن هدف شما حداقل بر اساس آدرس MAC امکان پذیر نیست (البته به نظر من)
شما باید دنبال راه حل دیگه ای باشید. مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.
[QUOTE=aliafzalan;256112]ببینید فقط چک کردن MAC مبدا ملاک نیست، که شما بخواهید با ACL in جلوش رو بگیرید. از اونجایی که سیستمها در دو شبکه مجزا هستند، شما نمیتونید MAC مبدا و مقصد رو به طور همزمان داشته باشید و اونها رو چک کنید، پس برآورده شدن هدف شما حداقل بر اساس آدرس MAC امکان پذیر نیست (البته به نظر من)
شما باید دنبال راه حل دیگه ای باشید. مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.[/QUOTE]
درسته ! گرفتمن قضيه رو ! فقط ميشه همون اول MAC مبدا رو تست كرد
[QUOTE]مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره. [/QUOTE]
خوب شما بفرماييد براي اين سناريو غير از MAC و IP جه راه بهتري وجود داره ؟
راستي يه سوال بنيادي ) :)
براي چي سوييچ هر بار بايد MAC مبدا رو عوض كنه
خوب بسته مياد از سيستم بيرون بايد بره به گيت وي يا همون int vlan اش
پس اينجا MAC مبدا براي سيستم و MAC مقصد مربوط به Int vlan هستش (كه ظاهرا سويچ يه چيز مجازي بهش ميده)
حالا بسته بايد بره به اينترفيس وي لن مقصد ! خوب سويچ فقط MAC مقصد رو عوض كنه ! چيكار به MAC مبدا داره ؟؟ همون مقصد رو عوض كنه و بسته رو بفرسته جلو ! بعدش هم كه از اينترفيس وي لن مقصد ميخواد بره به سرور مقصد ! حالا هم دوباره MAC مبدا بسته رو عوض نكنه ! چه كاريه ؟ بذاره همون MAC اولي باشه حالا اينبار MAC مقصد رو برابر MAC سرور بده ! اگه اينطوري باشه ميتونيم يه Mac ACL بذاريم روي OUT وي لن سرورها و كارمون رو يه جورايي راه بندازيم
شما می تونید از لینکهای زیر استفاده کنید
[url=http://www.cisco.com/en/US/docs/ios/12_3/switch/command/reference/swi_m1.html]Cisco IOS Switching Services Command Reference, Release 12.3 - Switching Commands: mac-address-table aging-time through mpls ip encapsulate explicit-null[/url]
[URL]http://www.cisco.com/en/US/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/MACAddress.pdf[/URL]
با اینم می تونید کاربر رو یه پورت سویچ محدود کنید
[url=http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swacl.html]Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs[/url]
اینم یه نگاه بندازید
[url=http://www.cisco.com/en/US/docs/switches/lan/catalyst2960/software/release/12.2_25_see/configuration/guide/swacl.html#wp1289037]Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs[/url]
[FONT=Times-Roman][SIZE=2][FONT=Times-Roman][SIZE=2][LEFT]This example shows how to put a static entry in the MAC address table:[/LEFT]
[/SIZE][/FONT][/SIZE][/FONT][FONT=Courier][SIZE=1][FONT=Courier][SIZE=1][LEFT]switch# [/SIZE][/FONT][/SIZE][/FONT][B][SIZE=1][SIZE=1][FONT=Times New Roman]configure terminal[/FONT][/LEFT]
[/B][/SIZE][/SIZE][FONT=Courier][SIZE=1][FONT=Courier][SIZE=1][LEFT]switch(config)# [/SIZE][/FONT][/SIZE][/FONT][B][FONT=Courier-Bold][SIZE=1][FONT=Courier-Bold][SIZE=1][FONT=Times New Roman]mac-address-table static 12ab.47dd.ff89 vlan 3 interface ethernet 2/1[/FONT][/SIZE][/FONT][/SIZE][/FONT][/B]
[B][FONT=Courier-Bold][SIZE=1][FONT=Courier-Bold][SIZE=1][FONT=Times New Roman][/FONT][/SIZE][/FONT][/SIZE][/FONT][/B]
[B][FONT=Courier-Bold][SIZE=1][FONT=Courier-Bold][SIZE=1][FONT=Times New Roman][/FONT][/SIZE][/FONT][/SIZE][/FONT][/B]
[B][FONT=Courier-Bold][SIZE=1][FONT=Courier-Bold][SIZE=1] [/LEFT]
[/B][/SIZE][/FONT][/SIZE][/FONT]
[QUOTE=mhdganji;256151]
راستي يه سوال بنيادي ) :)
براي چي سوييچ هر بار بايد MAC مبدا رو عوض كنه
[/QUOTE]
سوال خوبی مطرح کردید.
ببینید دوست من وقتی بسته ای به دستگاهی مثل pc یا روتر میرسه در صورتی اون بسته drop نمیشه و دستگاه متوجه میشه که بسته ماله اونه که آدرس des mac داخل بسته ، آدرس mac اون دستگاه باشه (اگر غیر از این بود mac دیگه معنایی نداشت).
خوب وقتی روتر بسته رو از مبداء میگره ، اگر آدرس mac مبدا رو عوض نکنه در برگشت pc مقابل تو بسته ای که در جواب شما میفرسته تو قسمته des macش آدرس mac شما رو میذاره و میفرسته به روتر . (حتما میدونید وقتی بسته ای به یه دستگاه میرسه و اون دستگاه میخواد جواب بده جای des mac , src mac رو عوض میکنه تا بسته به اونجایی برگرده که ازش اومده )
روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .
سعی کردم خلاصه و مفید بگم .
[QUOTE=al1p0ur;256228]سوال خوبی مطرح کردید.
ببینید دوست من وقتی بسته ای به دستگاهی مثل pc یا روتر میرسه در صورتی اون بسته drop نمیشه و دستگاه متوجه میشه که بسته ماله اونه که آدرس des mac داخل بسته ، آدرس mac اون دستگاه باشه (اگر غیر از این بود mac دیگه معنایی نداشت).
خوب وقتی روتر بسته رو از مبداء میگره ، اگر آدرس mac مبدا رو عوض نکنه در برگشت pc مقابل تو بسته ای که در جواب شما میفرسته تو قسمته des macش آدرس mac شما رو میذاره و میفرسته به روتر . (حتما میدونید وقتی بسته ای به یه دستگاه میرسه و اون دستگاه میخواد جواب بده جای des mac , src mac رو عوض میکنه تا بسته به اونجایی برگرده که ازش اومده )
روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .
سعی کردم خلاصه و مفید بگم .[/QUOTE]
با سلام
تا اونجايي كه من ميدونم سويچ هيچ موقع آدرس MAC رو عوض نميكنه، و از روي MAC TAble خودش ميفهمه كه كدوم كامپيوتر كجاست و به كدوم پورت وصله؟
[QUOTE]روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .[/QUOTE]
دستگاهي مثل روتر هم توي لايه 3 كار ميكنه و اصلا نميتونه MAC رو نگاه كنه اون فقط ميتونه آدرس IP رو چك كنه و تعويض كنه!
[QUOTE=rahimi_gnu;256233]
تا اونجايي كه من ميدونم سويچ هيچ موقع آدرس MAC رو عوض نميكنه، و از روي MAC TAble خودش ميفهمه كه كدوم كامپيوتر كجاست و به كدوم پورت وصله؟ [/QUOTE]
ایشون از سوئیچ لایه 3 استفاده میکنند .:wacko:
[QUOTE=rahimi_gnu;256233]
دستگاهي مثل روتر هم توي لايه 3 كار ميكنه و اصلا نميتونه MAC رو نگاه كنه اون فقط ميتونه آدرس IP رو چك كنه و تعويض كنه![/QUOTE]
درسته که روتر لایه 3 کار میکنه ولی وقتی بسته بهش میرسه تو لایه 2 mac رو نگاه میکنه اگه مال خودش بود تحویل لایه 3 میده در غیر اینصورت drop مکنه . یه راست نمیپره که لایه 3 :blink:
حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .
[QUOTE]پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .[/QUOTE]
عالی بود
بسیار ممنون
[QUOTE]حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .[/QUOTE]
كامپيوتري كه روي سابنت 24/192.168.0.0 هست به آدرس 192.168.0.255 برودكست ميزنه، اين پيغام به همه كامپيوترهاي موجود در broadcast domain ميرسه.
و روتر در جواب ARP باز هم از روي IP مقصد ميفهمه كه بايد جواب بده. (ARP يعني اينكه آدرس MAC اين IP چيه؟)
[QUOTE=rahimi_gnu;256332]كامپيوتري كه روي سابنت 24/192.168.0.0 هست به آدرس 192.168.0.255 برودكست ميزنه، اين پيغام به همه كامپيوترهاي موجود در broadcast domain ميرسه.
و روتر در جواب ARP باز هم از روي IP مقصد ميفهمه كه بايد جواب بده. (ARP يعني اينكه آدرس MAC اين IP چيه؟)[/QUOTE]
بذارید یه مثال براتون بزنم :
کامپیوتر A میخواد یه بسته به B بفرسته، A آدرس B رو میدونه ولی mac اونو نداره پس یه پیام ARP با آدرس ip فرستنده (آدرس خودش) ، آدرس ip گیرنده ( 255.255.255.255 ) میسازه و آدرس ip کامپیوتر B رو تو فیلد Data قرارمیده و بسته رو تحویل لایه Datalink میده که این لایه آدرس مک خودش رو به عنوان SRC MAC و FFFF.FFFF.FFFF رو به عنوان DST MAC قرار میده و اطلاعات رو میده به لایه فیزیکی تا ارسال بشه .
کامپیوتر های موجود در شبکه از جمله B ، این بسته رو دریافت میکنن و چون آدرس MAC اون یه آدرس Broadcast هست بسته رو پردازش میکنن و تحویل لایه 3 (Internet) . بازم چون آدرس IP از نوع Broadcast هستش بسته رو پردازش میکنن . تو این مرحله B آدرس IP خودش رو تو فیلد Data پیدا میکنه و میفهمه که پیام ARP برای اون ارسال شده به خاطر همین MAC خودش رو برای A ارسال میکنه .
کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .
امیدوارم واضح گفته باشم .
ببین دوست عزیز لایه های شبکه به ترتیب از پایین به بالا برای برای دریافت و از بالا به پایین برای ارسال کار میکنند . ما وقتی میگیم روتر تو لایه 3 کار میکنه منظور این نیست که فقط تو لایه 3 کار میکنه . منظور اینه که بسته ها تا لایه 3 بالا میرن و پردازس میشن . خب مسلما مک هم خونده میشه بعد به لایه بالاتر میره .
[QUOTE] کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .[/QUOTE]
اگه بخوایم سیستم دریافت کننده حتی اگه MAC خودش هم در مقصد نبود بسته رو Drop نکنه بلکه نگهش داره (یه جورایی دزدیدن بسته های شبکه و پکت های دیگران) چه باید کرد ؟ کارت شبکه 1q. بخریم و روی promiscuous تنظیمش کنیم ؟
[QUOTE=al1p0ur;256350]بذارید یه مثال براتون بزنم :
کامپیوتر A میخواد یه بسته به B بفرسته، A آدرس B رو میدونه ولی mac اونو نداره پس یه پیام ARP با آدرس ip فرستنده (آدرس خودش) ، آدرس ip گیرنده ( 255.255.255.255 ) میسازه و آدرس ip کامپیوتر B رو تو فیلد Data قرارمیده و بسته رو تحویل لایه Datalink میده که این لایه آدرس مک خودش رو به عنوان SRC MAC و FFFF.FFFF.FFFF رو به عنوان DST MAC قرار میده و اطلاعات رو میده به لایه فیزیکی تا ارسال بشه .
کامپیوتر های موجود در شبکه از جمله B ، این بسته رو دریافت میکنن و چون آدرس MAC اون یه آدرس Broadcast هست بسته رو پردازش میکنن و تحویل لایه 3 (Internet) . بازم چون آدرس IP از نوع Broadcast هستش بسته رو پردازش میکنن . تو این مرحله B آدرس IP خودش رو تو فیلد Data پیدا میکنه و میفهمه که پیام ARP برای اون ارسال شده به خاطر همین MAC خودش رو برای A ارسال میکنه .
کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .
امیدوارم واضح گفته باشم .
ببین دوست عزیز لایه های شبکه به ترتیب از پایین به بالا برای برای دریافت و از بالا به پایین برای ارسال کار میکنند . ما وقتی میگیم روتر تو لایه 3 کار میکنه منظور این نیست که فقط تو لایه 3 کار میکنه . منظور اینه که بسته ها تا لایه 3 بالا میرن و پردازس میشن . خب مسلما مک هم خونده میشه بعد به لایه بالاتر میره .[/QUOTE]
خيلي ممنون از توضيح شما دوست گرامي
[QUOTE=mhdganji;256351]اگه بخوایم سیستم دریافت کننده حتی اگه MAC خودش هم در مقصد نبود بسته رو Drop نکنه بلکه نگهش داره (یه جورایی دزدیدن بسته های شبکه و پکت های دیگران) چه باید کرد ؟ کارت شبکه 1q. بخریم و روی promiscuous تنظیمش کنیم ؟[/QUOTE]
کارت شبکه های 1q. هم مثل بقیه کارت شبکه ها اگه MAC خودشونو نبینن Drop میکنن . فقط فرقشون اینه که میتونن بسته هایی رو که tag vlan روشون خورده رو بخونن یعنی میتونن بسته های همه vlan ها رو بخونن .