صفحه 2 از 3 اولیناولین 1 2 3 آخرینآخرین
نمایش نتایج: از شماره 16 تا 30 از مجموع 31

موضوع: يك Mac ACL در كنار IP ACL

  
  1. #16
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    خب مشکل همین جاست دیگه!!
    وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.


    th95 سپاسگزاری کرده است.

  2. #17
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    خب مشکل همین جاست دیگه!!
    وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
    آخه چرا سوییچ اینکارو میکنه ؟ مگه مریضه ؟؟
    نمیشه یجوری بهش بگیم بی خیال
    اینطوری ما بعد از رد شدن از اینترفیس وی لن دیگه کنترلی رو بسته مون نداریم. حالا از هر سیستمی توی اون وی لن اومده باشه !



  3. #18
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    راستی

    وقتی بسته میرسه به اینترفیس VLAN و از اونجا می خواهد فرستاده بشه، Source MAC عوض میشه و
    خوب ما که ACL روی Inbound گذاشتیم ! پس هنگام ورود بسته به اینترفیس وی لن ACL اعمال میشه دیگه ! با مبدا چک میشه و اگر اجازه داشت حالا میره بیرون ! موقع بیرون رفتن Source MAC عوض میشه درسته ؟ این همون چیزیه که شما میگید !

    میشه MAC اینترفیس VLAN، و شما دیگه هیچ اثری از MAC سیستم اولی ندارید که بخواهید بر اساس اون فیلترینگ رو انجام بدید.
    طبق توضیحی که دادم بسته همون در هنگام ورود به ایترفیس وی لن چک شده ! یعنی ACL روی IN بوده و حالا بعد از اینکه اجازه خروج پیدا کرده MAC اش عوض میشه ! یعنی فیلترینگ همون هنگتم ورود انجام شده

    اما من فکر میکردم مشکل شما مربوط به مقصده ! یعنی MAC مقصد در ابتدا سرور نیست بلکه اینترفیس وی لن (گیت وی اش) هست پس نمیتونیم بر اساس MAC سرور مقصد کاری انجام بدیم. درسته ؟ اگه این باشه حق با شماست ولی خوب MAC ACL ما در هنگام ورود به اینترفیس وی لن اداری میتونه چک کنه که آیا این سیستم همون ادمین هست یا نه ! درسته ؟ حالا اینکه بعد از اون MAC مبدا رو عوض میکنه صحبت می کنیم فعلا این قسمتش رو توضیح میدید


    ویرایش توسط th95 : 2010-05-07 در ساعت 04:06 PM

  4. #19
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    ببینید فقط چک کردن MAC مبدا ملاک نیست، که شما بخواهید با ACL in جلوش رو بگیرید. از اونجایی که سیستمها در دو شبکه مجزا هستند، شما نمیتونید MAC مبدا و مقصد رو به طور همزمان داشته باشید و اونها رو چک کنید، پس برآورده شدن هدف شما حداقل بر اساس آدرس MAC امکان پذیر نیست (البته به نظر من)
    شما باید دنبال راه حل دیگه ای باشید. مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.


    th95 سپاسگزاری کرده است.

  5. #20
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    ببینید فقط چک کردن MAC مبدا ملاک نیست، که شما بخواهید با ACL in جلوش رو بگیرید. از اونجایی که سیستمها در دو شبکه مجزا هستند، شما نمیتونید MAC مبدا و مقصد رو به طور همزمان داشته باشید و اونها رو چک کنید، پس برآورده شدن هدف شما حداقل بر اساس آدرس MAC امکان پذیر نیست (البته به نظر من)
    شما باید دنبال راه حل دیگه ای باشید. مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.
    درسته ! گرفتمن قضيه رو ! فقط ميشه همون اول MAC مبدا رو تست كرد

    مطمئناً راههای بهتر و قابل اعتمادتر از MAC هم وجود داره.
    خوب شما بفرماييد براي اين سناريو غير از MAC و IP جه راه بهتري وجود داره ؟
    راستي يه سوال بنيادي )
    براي چي سوييچ هر بار بايد MAC مبدا رو عوض كنه

    خوب بسته مياد از سيستم بيرون بايد بره به گيت وي يا همون int vlan اش
    پس اينجا MAC مبدا براي سيستم و MAC مقصد مربوط به Int vlan هستش (كه ظاهرا سويچ يه چيز مجازي بهش ميده)

    حالا بسته بايد بره به اينترفيس وي لن مقصد ! خوب سويچ فقط MAC مقصد رو عوض كنه ! چيكار به MAC مبدا داره ؟؟ همون مقصد رو عوض كنه و بسته رو بفرسته جلو ! بعدش هم كه از اينترفيس وي لن مقصد ميخواد بره به سرور مقصد ! حالا هم دوباره MAC مبدا بسته رو عوض نكنه ! چه كاريه ؟ بذاره همون MAC اولي باشه حالا اينبار MAC مقصد رو برابر MAC سرور بده ! اگه اينطوري باشه ميتونيم يه Mac ACL بذاريم روي OUT وي لن سرورها و كارمون رو يه جورايي راه بندازيم



  6. #21
    نام حقيقي: وحید

    عضو غیر فعال
    تاریخ عضویت
    Apr 2010
    محل سکونت
    تهران
    نوشته
    23
    سپاسگزاری شده
    22
    سپاسگزاری کرده
    0
    شما می تونید از لینکهای زیر استفاده کنید
    Cisco IOS Switching Services Command Reference, Release 12.3 - Switching Commands: mac-address-table aging-time through mpls ip encapsulate explicit-null
    http://www.cisco.com/en/US/docs/swit...MACAddress.pdf

    با اینم می تونید کاربر رو یه پورت سویچ محدود کنید

    Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs

    اینم یه نگاه بندازید

    Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs

    This example shows how to put a static entry in the MAC address table:
    switch#
    configure terminal

    switch(config)#
    mac-address-table static 12ab.47dd.ff89 vlan 3 interface ethernet 2/1






    th95 سپاسگزاری کرده است.

  7. #22
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,097
    سپاسگزاری شده
    2423
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راستي يه سوال بنيادي )
    براي چي سوييچ هر بار بايد MAC مبدا رو عوض كنه
    سوال خوبی مطرح کردید.
    ببینید دوست من وقتی بسته ای به دستگاهی مثل pc یا روتر میرسه در صورتی اون بسته drop نمیشه و دستگاه متوجه میشه که بسته ماله اونه که آدرس des mac داخل بسته ، آدرس mac اون دستگاه باشه (اگر غیر از این بود mac دیگه معنایی نداشت).
    خوب وقتی روتر بسته رو از مبداء میگره ، اگر آدرس mac مبدا رو عوض نکنه در برگشت pc مقابل تو بسته ای که در جواب شما میفرسته تو قسمته des macش آدرس mac شما رو میذاره و میفرسته به روتر . (حتما میدونید وقتی بسته ای به یه دستگاه میرسه و اون دستگاه میخواد جواب بده جای des mac , src mac رو عوض میکنه تا بسته به اونجایی برگرده که ازش اومده )
    روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
    پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .


    سعی کردم خلاصه و مفید بگم .


    th95 سپاسگزاری کرده است.

  8. #23
    نام حقيقي: رحيمي

    خواننده شناسه تصویری rahimi_gnu
    تاریخ عضویت
    Mar 2010
    محل سکونت
    N/A
    نوشته
    104
    سپاسگزاری شده
    27
    سپاسگزاری کرده
    26
    نقل قول نوشته اصلی توسط al1p0ur نمایش پست ها
    سوال خوبی مطرح کردید.
    ببینید دوست من وقتی بسته ای به دستگاهی مثل pc یا روتر میرسه در صورتی اون بسته drop نمیشه و دستگاه متوجه میشه که بسته ماله اونه که آدرس des mac داخل بسته ، آدرس mac اون دستگاه باشه (اگر غیر از این بود mac دیگه معنایی نداشت).
    خوب وقتی روتر بسته رو از مبداء میگره ، اگر آدرس mac مبدا رو عوض نکنه در برگشت pc مقابل تو بسته ای که در جواب شما میفرسته تو قسمته des macش آدرس mac شما رو میذاره و میفرسته به روتر . (حتما میدونید وقتی بسته ای به یه دستگاه میرسه و اون دستگاه میخواد جواب بده جای des mac , src mac رو عوض میکنه تا بسته به اونجایی برگرده که ازش اومده )
    روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
    پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .


    سعی کردم خلاصه و مفید بگم .
    با سلام
    تا اونجايي كه من ميدونم سويچ هيچ موقع آدرس MAC رو عوض نميكنه، و از روي MAC TAble خودش ميفهمه كه كدوم كامپيوتر كجاست و به كدوم پورت وصله؟
    روتر هم بسته رو باز میکنه و میبینه که آدرس des mac دستگاه دیگری توبسته هست و متوجه میشه که بسته مال اون نیست و اونو drop میکنه .
    دستگاهي مثل روتر هم توي لايه 3 كار ميكنه و اصلا نميتونه MAC رو نگاه كنه اون فقط ميتونه آدرس IP رو چك كنه و تعويض كنه!



  9. #24
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,097
    سپاسگزاری شده
    2423
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط rahimi_gnu نمایش پست ها
    تا اونجايي كه من ميدونم سويچ هيچ موقع آدرس MAC رو عوض نميكنه، و از روي MAC TAble خودش ميفهمه كه كدوم كامپيوتر كجاست و به كدوم پورت وصله؟
    ایشون از سوئیچ لایه 3 استفاده میکنند .

    نقل قول نوشته اصلی توسط rahimi_gnu نمایش پست ها
    دستگاهي مثل روتر هم توي لايه 3 كار ميكنه و اصلا نميتونه MAC رو نگاه كنه اون فقط ميتونه آدرس IP رو چك كنه و تعويض كنه!
    درسته که روتر لایه 3 کار میکنه ولی وقتی بسته بهش میرسه تو لایه 2 mac رو نگاه میکنه اگه مال خودش بود تحویل لایه 3 میده در غیر اینصورت drop مکنه . یه راست نمیپره که لایه 3

    حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .


    th95 سپاسگزاری کرده است.

  10. #25
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    پس روتر mac رو عوض میکنه تا موقع برگشت ، اون pc بسته رو برای روتر برگردونه و روتر با توجه به جدول روتش اونو روت کنه به سمت جایی که باید بره .
    عالی بود
    بسیار ممنون



  11. #26
    نام حقيقي: رحيمي

    خواننده شناسه تصویری rahimi_gnu
    تاریخ عضویت
    Mar 2010
    محل سکونت
    N/A
    نوشته
    104
    سپاسگزاری شده
    27
    سپاسگزاری کرده
    26
    حالا اصلا یه سوال : اگه روتر لایه 2 رو نمیتونه بخونه پس چطوری جواب پیامهای broad cast مثل ARP رو میده ؟! یا اصلا چه جوری میفهمه که پیام broadcast هستش ؟؟ خوب از رو مکش دیگه .
    كامپيوتري كه روي سابنت 24/192.168.0.0 هست به آدرس 192.168.0.255 برودكست ميزنه، اين پيغام به همه كامپيوترهاي موجود در broadcast domain ميرسه.
    و روتر در جواب ARP باز هم از روي IP مقصد ميفهمه كه بايد جواب بده. (ARP يعني اينكه آدرس MAC اين IP چيه؟)



  12. #27
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,097
    سپاسگزاری شده
    2423
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط rahimi_gnu نمایش پست ها
    كامپيوتري كه روي سابنت 24/192.168.0.0 هست به آدرس 192.168.0.255 برودكست ميزنه، اين پيغام به همه كامپيوترهاي موجود در broadcast domain ميرسه.
    و روتر در جواب ARP باز هم از روي IP مقصد ميفهمه كه بايد جواب بده. (ARP يعني اينكه آدرس MAC اين IP چيه؟)
    بذارید یه مثال براتون بزنم :
    کامپیوتر A میخواد یه بسته به B بفرسته، A آدرس B رو میدونه ولی mac اونو نداره پس یه پیام ARP با آدرس ip فرستنده (آدرس خودش) ، آدرس ip گیرنده ( 255.255.255.255 ) میسازه و آدرس ip کامپیوتر B رو تو فیلد Data قرارمیده و بسته رو تحویل لایه Datalink میده که این لایه آدرس مک خودش رو به عنوان SRC MAC و FFFF.FFFF.FFFF رو به عنوان DST MAC قرار میده و اطلاعات رو میده به لایه فیزیکی تا ارسال بشه .

    کامپیوتر های موجود در شبکه از جمله B ، این بسته رو دریافت میکنن و چون آدرس MAC اون یه آدرس Broadcast هست بسته رو پردازش میکنن و تحویل لایه 3 (Internet) . بازم چون آدرس IP از نوع Broadcast هستش بسته رو پردازش میکنن . تو این مرحله B آدرس IP خودش رو تو فیلد Data پیدا میکنه و میفهمه که پیام ARP برای اون ارسال شده به خاطر همین MAC خودش رو برای A ارسال میکنه .

    کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .

    امیدوارم واضح گفته باشم .
    ببین دوست عزیز لایه های شبکه به ترتیب از پایین به بالا برای برای دریافت و از بالا به پایین برای ارسال کار میکنند . ما وقتی میگیم روتر تو لایه 3 کار میکنه منظور این نیست که فقط تو لایه 3 کار میکنه . منظور اینه که بسته ها تا لایه 3 بالا میرن و پردازس میشن . خب مسلما مک هم خونده میشه بعد به لایه بالاتر میره .


    ویرایش توسط al1p0ur : 2010-05-09 در ساعت 07:25 PM

  13. #28
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .
    اگه بخوایم سیستم دریافت کننده حتی اگه MAC خودش هم در مقصد نبود بسته رو Drop نکنه بلکه نگهش داره (یه جورایی دزدیدن بسته های شبکه و پکت های دیگران) چه باید کرد ؟ کارت شبکه 1q. بخریم و روی promiscuous تنظیمش کنیم ؟



  14. #29
    نام حقيقي: رحيمي

    خواننده شناسه تصویری rahimi_gnu
    تاریخ عضویت
    Mar 2010
    محل سکونت
    N/A
    نوشته
    104
    سپاسگزاری شده
    27
    سپاسگزاری کرده
    26
    نقل قول نوشته اصلی توسط al1p0ur نمایش پست ها
    بذارید یه مثال براتون بزنم :
    کامپیوتر A میخواد یه بسته به B بفرسته، A آدرس B رو میدونه ولی mac اونو نداره پس یه پیام ARP با آدرس ip فرستنده (آدرس خودش) ، آدرس ip گیرنده ( 255.255.255.255 ) میسازه و آدرس ip کامپیوتر B رو تو فیلد Data قرارمیده و بسته رو تحویل لایه Datalink میده که این لایه آدرس مک خودش رو به عنوان SRC MAC و FFFF.FFFF.FFFF رو به عنوان DST MAC قرار میده و اطلاعات رو میده به لایه فیزیکی تا ارسال بشه .

    کامپیوتر های موجود در شبکه از جمله B ، این بسته رو دریافت میکنن و چون آدرس MAC اون یه آدرس Broadcast هست بسته رو پردازش میکنن و تحویل لایه 3 (Internet) . بازم چون آدرس IP از نوع Broadcast هستش بسته رو پردازش میکنن . تو این مرحله B آدرس IP خودش رو تو فیلد Data پیدا میکنه و میفهمه که پیام ARP برای اون ارسال شده به خاطر همین MAC خودش رو برای A ارسال میکنه .

    کامپیوترهای دیگه هم وقتی آدرس ip تو فیلد Data رو مشابه آدرس خودشون نمیبینن اونو Drop میکنن .

    امیدوارم واضح گفته باشم .
    ببین دوست عزیز لایه های شبکه به ترتیب از پایین به بالا برای برای دریافت و از بالا به پایین برای ارسال کار میکنند . ما وقتی میگیم روتر تو لایه 3 کار میکنه منظور این نیست که فقط تو لایه 3 کار میکنه . منظور اینه که بسته ها تا لایه 3 بالا میرن و پردازس میشن . خب مسلما مک هم خونده میشه بعد به لایه بالاتر میره .
    خيلي ممنون از توضيح شما دوست گرامي


    al1p0ur سپاسگزاری کرده است.

  15. #30
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,097
    سپاسگزاری شده
    2423
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    اگه بخوایم سیستم دریافت کننده حتی اگه MAC خودش هم در مقصد نبود بسته رو Drop نکنه بلکه نگهش داره (یه جورایی دزدیدن بسته های شبکه و پکت های دیگران) چه باید کرد ؟ کارت شبکه 1q. بخریم و روی promiscuous تنظیمش کنیم ؟
    کارت شبکه های 1q. هم مثل بقیه کارت شبکه ها اگه MAC خودشونو نبینن Drop میکنن . فقط فرقشون اینه که میتونن بسته هایی رو که tag vlan روشون خورده رو بخونن یعنی میتونن بسته های همه vlan ها رو بخونن .


    ویرایش توسط al1p0ur : 2010-05-09 در ساعت 08:02 PM
    th95 سپاسگزاری کرده است.

صفحه 2 از 3 اولیناولین 1 2 3 آخرینآخرین

کلمات کلیدی در جستجوها:

مک آدرس در acl روتر

پیکربندیmac

روترلايه 3

تنظیمات mac acl

تنظیمات mac acl در آنتن

محدود کردن کامپیوتر بر اساس مک آدرس در acl روتر

Mac ACL

پیکربندی mac acl روی vlan ها

mac acl تنظیم و

mac acl شبکه

جواب arp cast

محدود کردن یک کامپیوتر از طریق mac زوی سوییچ سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •