求证一下做桥和arp绑定

seignior

之前曾经指导过别人用ros做透明桥，其中我理所当然的说了在透明桥下也可以做arp绑定，但昨天实际操作了一下，发现不成功，请教一下是我操作失误还是的确不能对桥做arp绑定？

D正版ROS
两张网卡做桥
两张网卡都加入bridge1

随便用桥下的机器上网，发现ip->arp表下没有任何内容(如果做nat的话，arp本来会自动捕获的)....用桥下的机器访问ros的web服务，这时候arp表才有内容

我手工绑定了ip->arp表，然后修改网卡general->ARP为reply-only(这两个动作分别对ether1,ether2,bridge1都实施过)，结果客户机改ip依然能上网...+_+"

在这里请教一下，应该如何实现在桥的模式下实现arp绑定？

专卖精品

先留个位置，还没有测试过！

tpy372

实践证明不行

seignior

我身边没有设备做测试，但刚才专卖说他测试ok的噢......tpy372有环境的话再实测一下？thnaks

zooyo

我的没任何问题啊，把ARP列表里的删了，选择桥的reply-only，连ROS都连不上了。2.9.42版本

luiwendi0329

已测测试过了，和楼主差不多，问过很多人，因为是是二层的。所以无法绑定，绑定好像只能在第三层上！~

zooyo

原帖由 luiwendi0329 于 2007-4-16 14:43 发表

                               
登录/注册后可看大图

已测测试过了，和楼主差不多，问过很多人，因为是是二层的。所以无法绑定，绑定好像只能在第三层上！~

查阅了N多资料，好像争论这个ARP是几层协议的还真不少。看看是不是版本问题。我的可以。2.9.42

[ 本帖最后由 zooyo 于 2007-4-16 18:41 编辑 ]

seignior

ARP是3层，但好像桥是2层(好像，我还没证实.......)

但刚才反复做都做不出来，最后......在bridge->filters算是变相实现了

xqs428

桥没有地址，不和机器通讯，无法学习ARP表
也就没有绑定这个说话，有MAC表。。。。。。。。。如果你的有ARP表，真强

xqs428

桥网卡本身不和其他机器通讯，学习不到ARP表，你和ROS通讯后，当然有ARP表了
这个就和华为3026上的ARP表一样，如果你有默认路由，和通一个网段内的通讯后，就学习到这个ARP表，其他的只学习到MAC，但是没ARP表！！！！

xqs428

桥本身不学习ARP表，你当然看不到东西了，当你和ROS通讯，也就有ARP通讯，这个时候就能学习到ARP表了，但是你在哪个网卡上配的地址ether1 or ether2，这2个配上地址能否通讯？因为他本身现在是桥，这个我没做过测试，我都是使用在加一个网卡进行监控，能学习到ARP表，是因为这个配置IP的监控口而学习到的，桥本身不学习ARP,学习MAC

parphy

原帖由 zooyo 于 2007-4-15 18:00 发表

                               
登录/注册后可看大图

我的没任何问题啊，把ARP列表里的删了，选择桥的reply-only，连ROS都连不上了。2.9.42版本

你和别人说的完全是两码事，你在桥上RPL ONLY，那只保证桥不被欺骗，此时的桥变成了一个二层半设备，只保证它自己的三层部分不被欺骗，但不能保证ARP端欺骗穿过桥从一端来欺骗同属一个桥的另一端！桥过滤是解决ARP跨桥欺骗的有效手段之一（就象8楼那样）
由此也可见，ARP的确是L3层的

对希望精益求精的人来说，概念不清，是导致一大堆问题的祸首之源，对要求不严的人，那就管他呢，能用、能解决就行，找人解决也是解决呀？！

[ 本帖最后由 parphy 于 2007-4-19 17:43 编辑 ]

seignior

三人行，必有我师

wujie

seignior
大哥可能教我怎么在bridge->filters实现吗？
要怎样设置让已知的MAC通过网桥，拦截未知的MAC通过网桥
请大哥教教我

homecn

我的问题是可以drop掉知道的mac，但想设条规则，就是默认都drop，知道的mac允许，但没成功。
我最后一条设置的是drop 源mac 00:00:00:00:00:00 ，然后在前面放开已知mac，但客户机就不能通讯了。