Category: Computer

下面是我在 tw.bbs.campus.nctu (== nctu.talk) 發表的文章，電話是快六點的時候接到的...

作者: DarkKiller (悸動) 看板: nctu.talk
標題: Re: 802.1X 與 RFC
時間: Sat Sep 24 21:28:37 2005

老師好，

※ 引述《ltc@xx.nctu.edu.tw》之銘言：
> 其它管制衝 IP 的技術必須定時從 router 取得 IP、MAC table，從 switch 取得
> MAC、switch port table，做交叉比對，代價太高，因為上網連線時間平均值，絕
> 對遠大於抓取table 的時間，跟連線、離線紀錄負擔差太多。

今天有個女生打電話到我家裡的 ADSL 附掛電話，接起來聽聲音不知道是誰，
我也不清楚他怎麼拿到這隻附掛電話的號碼。

對話的過程大概是這樣：

女：你是 DK 嗎？

我：啊？ (楞了一下)

女：你是 DarkKiller 嗎？

我：呃... (問題不是我是不是 DK，問題是你怎麼知道這隻號碼？)

女：你負責 802.1X 的部分嗎？

我：呃... (我的精神狀態持續 ... 中)

女：我以前也管過網路，現在住在女二舍，為什麼要啟動 802.1X 才能防止衝
    IP 啊？

我：呃... (還在恍惚，正想要回答的時候女生又繼續講)

女：我記得學校用的是 Cisco 2950，不是每個 Port 設一組 ACL 擋 source
    IP 就好了嗎？幹嘛又要啟動 802.1X 又要鎖 MAC address？

我：呃... 你說的好像也對... (好強... *震驚*)

女：那就不要再用 802.1X 了啊，blah blah... (後面幾句沒在聽了，然後她
    就掛電話了)

我：... (這是哪位大神啊)

然後我覺得我的生命安全受到威脅，趕緊跑出去跟學長去清大夜市吃晚餐，還
順便跟學長猜了老半天「這個人是誰」，剛剛才回到家。

但是我覺得這位女二舍的同學 (學姐？) 說的有些道理：

* 如果要管制衝 IP，只要對每個 Port 設 ACL 正向表列每個 Port 可使用的
  source IP address，總共 48 組。

  以 ARP 的行為來說，現有的設備沒有辦法阻止衝 IP 的現象發生，但可以利
  用 ACL 設定到「如果不使用正確的 IP 就不會通」，而降低衝 IP 的意願。

另外給女二舍的大神：

我沒有負責處理 802.1X 啊，您弄得到我的電話代表您神通廣大，您應該也弄
得到負責人的電話，不要打給我抱怨啊 =_=

--
                                                Resistance is futile.
                           http://blog.gslin.org/ & <gslin@gslin.org>