صفحه 1 از 3 1 2 3 آخرینآخرین
نمایش نتایج: از شماره 1 تا 15 از مجموع 31

موضوع: يك Mac ACL در كنار IP ACL

  
  1. #1
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20

    يك Mac ACL در كنار IP ACL

    سلام
    لازمه كه براي يك بخش (اداري) لاوه بر اكسس ليستي كه براي همه كاركنان وجود داره يه نفر دسترسيهاي خاص ويژه اي داشته باشه و بتونه به سرور اداري ريموت بشه و ...
    به اي پي نميشه فقط بسنده كرد لازمه كه حتما MAC ACL تعريف كنيم. سوال اينه كه آيا روي يه Int VLAN ميشه هم يه اكسس ليست معمولي (اي پي) و در همون حال يه MAC ACL هم داشت ؟ يا نه طبق اون قانون معروف اكسس ليست ها فقط يكي ميشه تعريف كرد



    موضوعات مشابه:

  2. #2
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    سلام
    MAC ACL مشکل شما رو حل نمیکنه، چون سیستم مبدا و مقصد توی دو تا شبکه مختلف قرار دارند و سیستم مبدا، MAC آدرس مقصد رو MAC روتر میزاره و نه MAC سرور اداری.


    th95 سپاسگزاری کرده است.

  3. #3
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    سلام
    اولا که ممنون میشم بگید سوای این قضیه بالاخره یه MAC ACL رو میشه روی یه اینترفیس در کنار یه IP ACL گذاشت یا نه ؟
    بعد هم اگه اینطوریه پس من چیکار کنم ؟
    اینطوری که mac acl اصلا بدرد نمیخوره
    مطمئنید آدرس روتر رو به عنوان مقصد میذاره ؟؟

    راستی ترکیبی نمیشه ؟
    نخندیدا !!! )
    مثلا بگیم :

    permit aaaa.aaaa.aaaa host 172.16.0.2



  4. #4
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    اولا که ممنون میشم بگید سوای این قضیه بالاخره یه MAC ACL رو میشه روی یه اینترفیس در کنار یه IP ACL گذاشت یا نه ؟
    تا حالا تست نکردم، میتونید امتحان کنید ببینید میشه یا نه.

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    بعد هم اگه اینطوریه پس من چیکار کنم ؟
    کاربرا رو محدود کنید تا نتونن IP رو عوض کنند، اینطوری دیگه مشکلی پیش نمیاد. حتی اگر که شما بتونید بر اساس MAC محدود کنید، کاربر به راختی میتونه MAC کارت شبکه رو عوض کنه و همون MAC یی رو بزاره که میتونه از ACL رد بشه پس در عمل این محدودیت فایده ای نداره.

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    مطمئنید آدرس روتر رو به عنوان مقصد میذاره ؟؟
    بله

    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    راستی ترکیبی نمیشه ؟
    مثلا بگیم :
    permit aaaa.aaaa.aaaa host 172.16.0.2
    نه نمیشه، یا MAC یا IP !


    th95 سپاسگزاری کرده است.

  5. #5
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    کاربرا رو محدود کنید تا نتونن IP رو عوض کنند، اینطوری دیگه مشکلی پیش نمیاد. حتی اگر که شما بتونید بر اساس MAC محدود کنید، کاربر به راختی میتونه MAC کارت شبکه رو عوض کنه و همون MAC یی رو بزاره که میتونه از ACL رد بشه پس در عمل این محدودیت فایده ای نداره.
    یعنی عملا کشک !
    پس ملت میرن فایروال می ذارن و کلی مینازن به این MAC Filtering هیچ ؟

    الان ما از طریق یه لینک مخابراتی از یه جا اینترنت میگیریم.
    طرف تنظیم کرده ای پی و MAC ما بتونه وصل بشه و اینترنت بگیره تا از سمت مخابرات و وسط راه کسی شیطونی نکنه

    اما اینطوری که ظاهرا میشه کشک
    یه نفر اون وسط پکت ها رو sniff کنه و بعد یه سیستم بذاره با ای پی خودش و ...



  6. #6
    نام حقيقي: حمید قنبریان

    خواننده
    تاریخ عضویت
    Oct 2009
    محل سکونت
    کرج
    نوشته
    501
    سپاسگزاری شده
    522
    سپاسگزاری کرده
    203
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    سلام
    اولا که ممنون میشم بگید سوای این قضیه بالاخره یه MAC ACL رو میشه روی یه اینترفیس در کنار یه IP ACL گذاشت یا نه ؟
    بعد هم اگه اینطوریه پس من چیکار کنم ؟
    اینطوری که mac acl اصلا بدرد نمیخوره
    مطمئنید آدرس روتر رو به عنوان مقصد میذاره ؟؟

    راستی ترکیبی نمیشه ؟
    نخندیدا !!! )
    مثلا بگیم :

    permit aaaa.aaaa.aaaa host 172.16.0.2
    با سلام خدمت شما عزیزان
    با تایید فرمایشات جناب آقای Afzalan و در تکمیل آن ، عمل MAC ACL فقط در حوزه سوئیچینگ اتفاق میافتد و اولویت اجرای آن از IP ACL بالاتر است . هنگامی که یک بسته به یک المان میرسد از اولین لایه پایین شروع به پردازش میشود . پس از کنترل سیگنالینگ لایه یک فریم آن براساس اینترفیس ورودی و خروجی آدرس گذاشته میشود و در ضمن اگر ACL روی MAC وجود داشت اعمال میشود سپس در مرحله بعد به لایه 3 رسیده IP مبداء و مقصد که معمولاً خارج از محدوده سوئیچینگ است گشوده شده و عملیات IP ACL و روتینگ صورت میگیرد .

    برای جواب مشکل شما آیا مشکل شما فقط رموت دسکتاپ برای کامپیوتری خاص است ؟ آیا روی کامپیوتر مقصد امکان نصب فایروال و تعیین شرایط وجود ندارد ؟


    th95 و aliafzalan سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط hamid khan نمایش پست ها
    با سلام خدمت شما عزیزان
    با تایید فرمایشات جناب آقای Afzalan و در تکمیل آن ، عمل MAC ACL فقط در حوزه سوئیچینگ اتفاق میافتد و اولویت اجرای آن از IP ACL بالاتر است . هنگامی که یک بسته به یک المان میرسد از اولین لایه پایین شروع به پردازش میشود . پس از کنترل سیگنالینگ لایه یک فریم آن براساس اینترفیس ورودی و خروجی آدرس گذاشته میشود و در ضمن اگر ACL روی MAC وجود داشت اعمال میشود سپس در مرحله بعد به لایه 3 رسیده IP مبداء و مقصد که معمولاً خارج از محدوده سوئیچینگ است گشوده شده و عملیات IP ACL و روتینگ صورت میگیرد .

    برای جواب مشکل شما آیا مشکل شما فقط رموت دسکتاپ برای کامپیوتری خاص است ؟ آیا روی کامپیوتر مقصد امکان نصب فایروال و تعیین شرایط وجود ندارد ؟
    سلام
    چرا اين امكان وجود دارد ! البته يه مقدار اوضاع سخت ميشه ! يعني بايد تعريف كنيم ريموت دسكتاپ فقط براي اين سيستم با اين اي پي امكان پذيره كه نميدونم تو ويندوز ميشه اين كار رو كرد يا نه ؟ بشه هم باز همون مشكل اي پي داريم. ميخواستم ترجيحا با MAC باشه
    ضمنا يه سري از اين داستان ها توي سوييچ هستند خواستم امنيت تو چند لايه اجرا بشه و مطمئن بشيم
    وگرنه تو سوييچ گفتم كه ريموت دسكتاپ فقط براي اين اي پي به اين سرور امكان پذيره
    البته باز هم نگراني MAC وجود داره ! هيچ راهي نيست كه MAC رو اين وسط دخالت بديم

    البته آقاي افضلان گفتند كه بايد اختيارات تغيير كارت شبكه رو از كاربر گرفت وگرنه ميتونه MAC اش رو هم عوض كنه
    اما اينجا يه مخالفت كوچيك با ايشون دارم
    چون اگه طرف رو MAC رو عوض كنه پورتش قطع ميشه ! Port Security
    ولي در مورد اي پي نميشه همچين كاري كرد



  8. #8
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    البته آقاي افضلان گفتند كه بايد اختيارات تغيير كارت شبكه رو از كاربر گرفت وگرنه ميتونه MAC اش رو هم عوض كنه
    اما اينجا يه مخالفت كوچيك با ايشون دارم
    چون اگه طرف رو MAC رو عوض كنه پورتش قطع ميشه ! Port Security
    شما که نگفته بودی Port Security داری
    البته Port Security هم مشکلات خاص خودش رو داره (مخصوصاً در محیط های بزرگ)



  9. #9
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    من هنوز به جواب نرسیدم
    بالاخره هیچ راهی برای محدود کردن دسترسی با یک پورت مثل 3389 به یک سیستم بر اساس MAC مبدا وجود نداره ؟



  10. #10
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    بر اساس MAC: خیر


    th95 و hamid khan سپاسگزاری کرده‌اند.

  11. #11
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    بر اساس MAC: خیر
    مگر اینکه از اون فایروال سخت افزاریمون استفاده کنیم نه ؟



  12. #12
    نام حقيقي: Ali Afzalan

    مدیر بخش Cisco شناسه تصویری aliafzalan
    تاریخ عضویت
    Apr 2009
    محل سکونت
    Tehran
    نوشته
    2,086
    سپاسگزاری شده
    2557
    سپاسگزاری کرده
    2059
    ببینید فرقی نمیکنه شما از فایروال استفاده میکنید و یا سوئیچ یا روتر و یا . . .، از اونجایی که دو تا سیستم در دو شبکه جدا قرار دارند با MAC نمیشه اونها رو محدود کرد، باید دنبال راه حل دیگه ای باشید.


    th95 و al1p0ur سپاسگزاری کرده‌اند.

  13. #13
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نقل قول نوشته اصلی توسط aliafzalan نمایش پست ها
    ببینید فرقی نمیکنه شما از فایروال استفاده میکنید و یا سوئیچ یا روتر و یا . . .، از اونجایی که دو تا سیستم در دو شبکه جدا قرار دارند با MAC نمیشه اونها رو محدود کرد، باید دنبال راه حل دیگه ای باشید.
    باور کنید دوستان این کار رو کردند
    البته معماری شبکه اونها به این شکله که فایروال سخت افزاری بین سوییچ سرورها و سوییچ Core کلاینتها قرار داره ولی اونجا هم وی لن ها جداست. و ... خیلی شبیه به وضعیتی که خدمتتون گفتم

    نمیتونیم بگیم بسته با ای پی مبدا و مقصد (اینترفیس وی لن مربوطه) میره به سوییچ Core می رسه (تا اینجا به قول شما ای پی مقصد توی بسته نیست بلکه ای پی روتر یا همون int vlan هستش) حالا بسته باید بره به سرور مقصد ! حالا ای پی سرور گذاشته میشه به جای مقصد بسته و این بسته به فایروال میره ! حالا فایروال میتونه با توجه به مبدا و مقصد تصمیم درست رو بگیره

    ممنون میشم این نظر من رو تصحیح بفرمایید



  14. #14
    نام حقيقي: Ali

    عضو ویژه شناسه تصویری al1p0ur
    تاریخ عضویت
    Feb 2010
    محل سکونت
    Tehran
    نوشته
    2,097
    سپاسگزاری شده
    2423
    سپاسگزاری کرده
    730
    نقل قول نوشته اصلی توسط mhdganji نمایش پست ها
    باور کنید دوستان این کار رو کردند
    البته معماری شبکه اونها به این شکله که فایروال سخت افزاری بین سوییچ سرورها و سوییچ Core کلاینتها قرار داره ولی اونجا هم وی لن ها جداست. و ... خیلی شبیه به وضعیتی که خدمتتون گفتم

    نمیتونیم بگیم بسته با ای پی مبدا و مقصد (اینترفیس وی لن مربوطه) میره به سوییچ Core می رسه (تا اینجا به قول شما ای پی مقصد توی بسته نیست بلکه ای پی روتر یا همون int vlan هستش) حالا بسته باید بره به سرور مقصد ! حالا ای پی سرور گذاشته میشه به جای مقصد بسته و این بسته به فایروال میره ! حالا فایروال میتونه با توجه به مبدا و مقصد تصمیم درست رو بگیره

    ممنون میشم این نظر من رو تصحیح بفرمایید
    روتر هیچ وقت ip رو عوض نمیکنه (مگر در مواقعی که nat میکنه) بلکه فقط mac بسته رو عوض میکنه . یعنی بسته ای که به دست گیرنده میرسه ip مبدا و مقصد توش هست (دست نخورده) ولی به جای mac مبدا ، mac روتر تو قسمت src mac بسته هستش .


    aliafzalan سپاسگزاری کرده است.

  15. #15
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    نمیتونیم بگیم بسته با ای پی مبدا و مقصد (اینترفیس وی لن مربوطه) میره به سوییچ Core می رسه (تا اینجا به قول شما ای پی مقصد توی بسته نیست بلکه ای پی روتر یا همون int vlan هستش) حالا بسته باید بره به سرور مقصد ! حالا ای پی سرور گذاشته میشه به جای مقصد بسته و این بسته به فایروال میره ! حالا فایروال میتونه با توجه به مبدا و مقصد تصمیم درست رو بگیره
    ببخشید من اشتباه نوشته بودم (انقدر تو نخ ای پی بودم اشتباه کردم) دقیقا منظورم MAC بودش ! اصلا صحبت از اول سر MAC بود. جناب افضلان گفتند بسته ای که میفرستی MAC مقصدش MAC روتر یا همون int vlan هست نه MAC سرور بنابراین نمیتونی منظورت رو پیاده سازی کنی.

    سوال بنده اینه (تصحیح شده اش)

    بسته با MAC مبدا و مقصد (اینترفیس وی لن مربوطه) میره به سوییچ Core می رسه (تا اینجا به قول شما MAC مقصد توی بسته نیست بلکهMAC روتر یا همون int vlan هستش) حالا بسته باید بره به سرور مقصد ! حالا MAC سرور گذاشته میشه به جای مقصد بسته و این بسته به فایروال میره ! حالا فایروال میتونه با توجه به MAC مبدا و مقصد تصمیم درست رو بگیره



صفحه 1 از 3 1 2 3 آخرینآخرین

کلمات کلیدی در جستجوها:

مک آدرس در acl روتر

پیکربندیmac

روترلايه 3

تنظیمات mac acl

تنظیمات mac acl در آنتن

محدود کردن کامپیوتر بر اساس مک آدرس در acl روتر

Mac ACL

پیکربندی mac acl روی vlan ها

mac acl تنظیم و

mac acl شبکه

جواب arp cast

محدود کردن یک کامپیوتر از طریق mac زوی سوییچ سیسکو

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •