خب مشکل همین جاست دیگه!!
وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
خب مشکل همین جاست دیگه!!
وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
راستی
خوب ما که ACL روی Inbound گذاشتیم ! پس هنگام ورود بسته به اینترفیس وی لن ACL اعمال میشه دیگه ! با مبدا چک میشه و اگر اجازه داشت حالا میره بیرون ! موقع بیرون رفتن Source MAC عوض میشه درسته ؟ این همون چیزیه که شما میگید !وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و
طبق توضیحی که دادم بسته همون در هنگام ورود به ایترفیس وی لن چک شده ! یعنی ACL روی IN بوده و حالا بعد از اینکه اجازه خروج پیدا کرده MAC اش عوض میشه ! یعنی فیلترینگ همون هنگتم ورود انجام شدهمیشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
اما من فکر میکردم مشکل شما مربوط به مقصده ! یعنی MAC مقصد در ابتدا سرور نیست بلکه اینترفیس وی لن (گیت وی اش) هست پس نمیتونیم بر اساس MAC سرور مقصد کاری انجام بدیم. درسته ؟ اگه این باشه حق با شماست ولی خوب MAC ACL ما در هنگام ورود به اینترفیس وی لن اداری میتونه چک کنه که آیا این سیستم همون ادمین هست یا نه ! درسته ؟ حالا اینکه بعد از اون MAC مبدا رو عوض میکنه صحبت می کنیم فعلا این قسمتش رو توضیح میدید
ویرایش توسط th95 : 2010-05-07 در ساعت 04:06 PM
ببینید فقط چک کردن MAC مبدا ملاک نیست، که شما بخواهید با ACL in جلوش رو بگیرید. از اونجایی که سیستمها در دو شبکه مجزا هستند، شما نمیتونید MAC مبدا و مقصد رو به طور همزمان داشته باشید و اونها رو چک کنید، پس برآورده شدن هدف شما حداقل بر اساس آدرس MAC امکان پذیر نیست (البته به نظر من)
شما باید دنبال راه حل دیگه ای باشید. مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.
درسته ! گرفتمن قضيه رو ! فقط ميشه همون اول MAC مبدا رو تست كرد
خوب شما بفرماييد براي اين سناريو غير از MAC و IP جه راه بهتري وجود داره ؟مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.
راستي يه سوال بنيادي )
براي چي سوييچ هر بار بايد MAC مبدا رو عوض كنه
خوب بسته مياد از سيستم بيرون بايد بره به گيت وي يا همون int vlan اش
پس اينجا MAC مبدا براي سيستم و MAC مقصد مربوط به Int vlan هستش (كه ظاهرا سويچ يه چيز مجازي بهش ميده)
حالا بسته بايد بره به اينترفيس وي لن مقصد ! خوب سويچ فقط MAC مقصد رو عوض كنه ! چيكار به MAC مبدا داره ؟؟ همون مقصد رو عوض كنه و بسته رو بفرسته جلو ! بعدش هم كه از اينترفيس وي لن مقصد ميخواد بره به سرور مقصد ! حالا هم دوباره MAC مبدا بسته رو عوض نكنه ! چه كاريه ؟ بذاره همون MAC اولي باشه حالا اينبار MAC مقصد رو برابر MAC سرور بده ! اگه اينطوري باشه ميتونيم يه Mac ACL بذاريم روي OUT وي لن سرورها و كارمون رو يه جورايي راه بندازيم
شما می تونید از لینکهای زیر استفاده کنید
Cisco IOS Switching Services Command Reference, Release 12.3 - Switching Commands: mac-address-table aging-time through mpls ip encapsulate explicit-null
http://www.cisco.com/en/US/docs/swit...MACAddress.pdf
با اینم می تونید کاربر رو یه پورت سویچ محدود کنید
Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs
اینم یه نگاه بندازید
Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs
This example shows how to put a static entry in the MAC address table:switch#configure terminal
switch(config)#mac-address-table static 12ab.47dd.ff89 vlan 3 interface ethernet 2/1
سوال خوبی مطرح کردید.
ببینید دوست من وقتی بسته ای به دستگاهی مثل pc یا روتر میرسه در صورتی اون بسته drop نمیشه و دستگاه متوجه میشه که بسته ماله اونه که آدرس des mac داخل بسته ، آدرس mac اون دستگاه باشه (اگر غیر از این بود mac دیگه معنایی نداشت).
خوب وقتی روتر بسته رو از مبداء میگره ، اگر آدرس mac مبدا رو عوض نکنه در برگشت pc مقابل تو بسته ای که در جواب شما میفرسته تو قسمته des macش آدرس mac شما رو میذاره و میفرسته به روتر . (حتما میدونید وقتی بسته ای به یه دستگاه میرسه و اون دستگاه میخواد جواب بده جای des mac , src mac رو عوض میکنه تا بسته به اونجایی برگرده که ازش اومده )
روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .
سعی کردم خلاصه و مفید بگم .
با سلام
تا اونجايي كه من ميدونم سويچ هيچ موقع آدرس MAC رو عوض نميكنه، و از روي MAC TAble خودش ميفهمه كه كدوم كامپيوتر كجاست و به كدوم پورت وصله؟
دستگاهي مثل روتر هم توي لايه 3 كار ميكنه و اصلا نميتونه MAC رو نگاه كنه اون فقط ميتونه آدرس IP رو چك كنه و تعويض كنه!روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
ایشون از سوئیچ لایه 3 استفاده میکنند .
درسته که روتر لایه 3 کار میکنه ولی وقتی بسته بهش میرسه تو لایه 2 mac رو نگاه میکنه اگه مال خودش بود تحویل لایه 3 میده در غیر اینصورت drop مکنه . یه راست نمیپره که لایه 3
حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .
عالی بودپس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .
بسیار ممنون
كامپيوتري كه روي سابنت 24/192.168.0.0 هست به آدرس 192.168.0.255 برودكست ميزنه، اين پيغام به همه كامپيوترهاي موجود در broadcast domain ميرسه.حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .
و روتر در جواب ARP باز هم از روي IP مقصد ميفهمه كه بايد جواب بده. (ARP يعني اينكه آدرس MAC اين IP چيه؟)
بذارید یه مثال براتون بزنم :
کامپیوتر A میخواد یه بسته به B بفرسته، A آدرس B رو میدونه ولی mac اونو نداره پس یه پیام ARP با آدرس ip فرستنده (آدرس خودش) ، آدرس ip گیرنده ( 255.255.255.255 ) میسازه و آدرس ip کامپیوتر B رو تو فیلد Data قرارمیده و بسته رو تحویل لایه Datalink میده که این لایه آدرس مک خودش رو به عنوان SRC MAC و FFFF.FFFF.FFFF رو به عنوان DST MAC قرار میده و اطلاعات رو میده به لایه فیزیکی تا ارسال بشه .
کامپیوتر های موجود در شبکه از جمله B ، این بسته رو دریافت میکنن و چون آدرس MAC اون یه آدرس Broadcast هست بسته رو پردازش میکنن و تحویل لایه 3 (Internet) . بازم چون آدرس IP از نوع Broadcast هستش بسته رو پردازش میکنن . تو این مرحله B آدرس IP خودش رو تو فیلد Data پیدا میکنه و میفهمه که پیام ARP برای اون ارسال شده به خاطر همین MAC خودش رو برای A ارسال میکنه .
کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .
امیدوارم واضح گفته باشم .
ببین دوست عزیز لایه های شبکه به ترتیب از پایین به بالا برای برای دریافت و از بالا به پایین برای ارسال کار میکنند . ما وقتی میگیم روتر تو لایه 3 کار میکنه منظور این نیست که فقط تو لایه 3 کار میکنه . منظور اینه که بسته ها تا لایه 3 بالا میرن و پردازس میشن . خب مسلما مک هم خونده میشه بعد به لایه بالاتر میره .
ویرایش توسط al1p0ur : 2010-05-09 در ساعت 07:25 PM
اگه بخوایم سیستم دریافت کننده حتی اگه MAC خودش هم در مقصد نبود بسته رو Drop نکنه بلکه نگهش داره (یه جورایی دزدیدن بسته های شبکه و پکت های دیگران) چه باید کرد ؟ کارت شبکه 1q. بخریم و روی promiscuous تنظیمش کنیم ؟کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .