MAC адрес коммутатора: что это и как работает? | FS Сообщество
Отмена

Исследовать

Обновить
<   Перейти в fs.com
Русский
Изучение решения Блог Инсайт Новости
https://media.fs.com/images/solution/switch-mac-address.jpg

MAC адрес коммутатора: что это и как работает?

Irving

Irving

Переводчик Антон
28 май 2019 г.


Купить FS коммутаторы для обеспечения постоянной защиты Вашей сети.

MAC адрес коммутатора: что это и как работает?

Вы, возможно, замечали, что каждое устройство в вашей локальной сети имеет МАС - адрес в дополнение к IP-адресу. За исключением коммутаторов, которые имеют MAC - адрес коммутатора, все устройства, подключенные к Интернету, имеют этот уникальный идентификационный номер: от настольных компьютеров, ноутбуков, мобильных телефонов, планшетов до беспроводных камер безопасности, и даже у подключенного холодильника есть MAC - адрес. Итак, почему вашим сетевым устройствам нужны два адреса для подключения к сети? Разве IP адреса недостаточно? Для чего именно нужен MAC адрес?

Чтобы обозначить MAC адрес (Media Access Control) с точки зрения непрофессионала, вы можете представить MAC адрес как свой уникальный цифровой отпечаток пальца, который является единственным в мире. MAC адрес предоставляется производителем и встроен в микросхему, которая позволяет вашему устройству подключаться к сети. Для сетевого коммутатора он может иметь много MAC адресов, поскольку каждому интерфейсу коммутатора назначен один MAC адрес.

Общий обзор о МАС адресе

MAC адрес – (Media Access Control address) – установленный производителем аппаратный адрес устройства, присоединённого к сетевой среде, необходимый для системы управления доступом к ней. Большинство сетевых протоколов канального уровня используют одну из систем глобально уникальной нумерации, которые находятся под контролем комитета IEEE RAC (Registration Authority Committee): EUI-48 и EUI-64. Наиболее распространены адреса типа EUI-48 (МАС-48), принятые в сетях Ethernet , Token Ring , FDDI и др. 48-битовый формат определяет адресное пространство размером 248 (или 281 474 976 710 656) адресов. B EUI-48 адрес записывается как последовательность из 12 шестнадцатеричных цифр, первые шесть из которых (organizational identifier, OI) обозначают производителя, а оставшиеся цифры – специальный номер, позволяющий однозначно определять устройство в локальной сети, т. е. после инсталляции сетевой карты (NIC) в компьютер её МАС адрес становится уникальным идентификатором компьютера по сети .

номера-MAC адресов

МАС vs IP адреса

Несмотря на похожие названия, адреса IP и MAC не имеют ничего общего, однако работая в связке. MAC адрес состоит из шести наборов буквенно-цифровых значений, разделённых двоеточием, и имеет вид что-то типа 00:0с:86:5s:9d:45:26. В этом обозначении сокрыта информация о производителе оборудования. И это первые три октета адреса. Программы диагностики (типа PC Wizard) именно так и определяют принадлежность оборудования, установленного на вашем компьютере. Теоретически MAC адрес при работе в сети, в отличие от IP собрата, остаётся неизменным. Так что для сетевых администраторов, определяющих отправителя и получателя данных в сети, он имеет более важное значение, нежели динамический IP. В беспроводных сетях правильно настроенная в роутере функция фильтрации MAC адресов выполняет защитную функцию отсева нежелательных компьютеров, предотвращая незаконное подключение к сети. IP адрес, напомню, можно подменить, не выходя из интернета, а со сменой адреса MAC у потенциального взломщика могут возникнуть проблемы уже на этапе подключения к текущему провайдеру .

МАС-vs-IP адреса

Для чего коммутаторы используют МАС адрес?

Коммутаторы не похожи на хабы или ретрансляторы. Хаб просто ретранслирует каждый сигнал на каждом порту на каждый другой порт, который легко создать. Коммутатор, с другой стороны, разумно направляет трафик между системами, направляя пакеты только к их надлежащему месту назначения. Для этого он отслеживает MAC адреса сетевых карт, подключенных к каждому порту. MAC адреса должны быть уникальными или, по крайней мере, маловероятно повторяющимися, чтобы их коммутаторы могли идентифицировать различные порты и устройства. Поэтому ручная установка MAC адреса может иметь неожиданные последствия в коммутируемой сети. Коммутаторы обычно имеют несколько MAC адресов, зарезервированных в своей таблице MAC адресов. При пересылке фрейма коммутатор сначала просматривает таблицу MAC адресов по MAC адресу назначения фрейма для исходящего порта. Если исходящий порт найден, фрейм пересылается, а не транслируется, поэтому трансляции уменьшаются.

Как коммутаторы узнают МАС адрес?

Поскольку у коммутатора есть некоторый интеллект, он может автоматически создать таблицу MAC адресов. Следующая часть иллюстрирует, как коммутатор узнает MAC адреса.

коммутатор-с-3-компьютерами-вокруг

Посередине есть коммутатор, а вокруг 3 компьютера. У всех компьютеров есть МАС адрес, но они упрощены как АА, ВВВ и ССС. Коммутатор имеет таблицу МАС-адрсов и узнает, где находятся все МАС адреса в сети. Теперь, предположим, что компьютер А собирается отправить что-то на компьютер В:

как-коммутатор-учится-первый-шаг-MAC адреса

Компьютер A будет отправлять некоторые данные, предназначенные для компьютера B, поэтому он создаст канал Ethernet, который имеет MAC адрес источника (AAA) и MAC адрес назначения (BBB). Коммутатор имеет таблицу MAC адресов, и вот что произойдет:

как-коммутатор-учится-второй-шаг-MAC адреса

Коммутатор создаст таблицу MAC адресов и будет учиться только по исходным MAC адресам. В этот момент он только что узнал, что MAC адрес компьютера A находится на интерфейсе 1. Теперь он добавит эту информацию в свою таблицу MAC адресов. Но коммутатор в настоящее время не имеет информации о том, где находится компьютер B. Остался только один вариант, чтобы вылить этот фрейм из всех его интерфейсов, кроме того, откуда он поступил. компьютер B и компьютер C получат этот Ethernet фрейм.

коммутатор-с-3-компьютерами

Поскольку компьютер B видит свой MAC адрес в качестве пункта назначения этого Ethernet фрейма, он знает, что он предназначен для него, компьютер C его отбросит. Компьютер B ответит на компьютер A, создаст Ethernet фрейм и отправит его к коммутатору. В этот момент коммутатор узнает MAC адрес компьютера B. Это конец нашей истории, теперь коммутатор знает как и когда он может «переключаться» вместо переполнения Ethernet фреймов. Компьютер C никогда не увидит никаких фреймов между компьютером A и B, за исключением первого, который был залит. Вы можете использовать динамическую команду show mac address-table, чтобы увидеть все MAC адреса, которые изучил коммутатор. Здесь следует подчеркнуть еще один момент: таблица MAC адресов на коммутаторе использует механизм устаревания для динамических записей. Если MAC адреса компьютеров A и B не обновляются в течение времени их старения, они будут удалены, чтобы освободить место для новых записей, что означает, что фреймы между компьютером A и B будут снова залиты на компьютер C, если A хочет передать информацию в В.

Как настроить адресную таблицу Mac вашего коммутатора?

Для переадресации кадров поддерживается таблица MAC адресов, которую можно динамически изучать или настраивать вручную. Первый был введен в предыдущем тексте, а следующая часть будет посвящена тому, как вручную настроить MAC адреса для адаптации к изменениям сети и повышения безопасности сети.

Настройка записей таблицы статических, динамических и черных MAC адресов

Чтобы повысить безопасность портов, вы можете вручную добавить записи MAC адресов в таблицу MAC адресов, чтобы связать порты с MAC адресами, предотвращая атаки по подделке MAC адресов. Кроме того, вы можете настроить черные MAC адреса для фильтрации пакетов с определенными исходными или целевыми MAC адресами.

Чтобы добавить или изменить статическую, динамическую или черную запись в таблице MAC адресов:

Шаг Команда Поправки
1. Войдите в систему. system-view N/A
2. Добавьте или измените запись динамического или статического MAC адреса mac-address { dynamic | static } mac-addressinterface interface-typeinterface-number vlan vlan-id Используйте ту же команду.
3. Добавьте или измените запись черного MAC адреса. mac-address blackhole mac-address vlan vlan-id

Настройка многопортовой записи таблицы MAC адресов одноадресной рассылки

Вы можете настроить запись многопортового одноадресного MAC адреса в таблице, чтобы связать одноадресный MAC адрес с несколькими портами, чтобы пакеты, соответствующие этой записи, доставлялись на несколько портов назначения.

Чтобы настроить многопортовую запись таблицы MAC адресов одноадресной рассылки:

Шаг Команда Поправки
1. Enter system view. system-view N/A
2. Настройте таймер устаревания для записей динамического MAC адреса. mac-address timer { agingseconds | no-aging } Необязательно. Диапазон значений таймера старения составляет от 10 до 3600 секунд, а значение по умолчанию составляет 300 секунд.

Настройка предела загрузки MAC для портов

Чтобы таблица MAC адресов не стала настолько большой, что производительность переадресации коммутатора ухудшится, вы можете ограничить число MAC адресов, которые могут быть учтены на порту.

Чтобы настроить ограничение загруженности MAC для портов:

Шаг Команда
1. Войдите в систему system-view N/A
2. Войдите в в интерфейс Ethernet. Войдите в группу портов.

1. Enter Ethernet interface view: interface interface-type interface-number

2. Enter port group view: port-group manual port-group-name

3. Enter Layer 2 aggregate interface view: interface bridge-aggregationinterface-number

Используйте любую команду.
Настройки в представлении интерфейса Ethernet или в представлении сводного интерфейса уровня 2 влияют только на текущий порт. Параметры в представлении группы портов вступают в силу для всех портов-участников в группе портов.
3. Настройте предел заполнения MAC на интерфейсе и настройте возможность пересылки фреймов с неизвестными исходными MAC адресами при достижении предела загруженности MAC. mac-address max-mac-count { count | disable-forwarding } По умолчанию, максимальное количество MAC адресов, которое можно узнать на интерфейсе, не указано.

Настройка предела загрузки MAC в VLAN

Вы также можете ограничить количество MAC адресов, которые можно узнать на основе VLAN.

Чтобы настроить ограничение на загрузку MAC в VLAN:

Шаг Команда Поправки
1. Войдите в систему. system-view N/A
2. Войдите в VLAN вид. vlan vlan-id N/A
3. Настройте предел загрузки MAC адресов в VLAN и настройте возможность пересылки фреймов с неизвестными исходными MAC адресами в VLAN при достижении верхнего предела. mac-address max-mac-count { count| disable-forwarding } По умолчанию максимальное количество MAC адресов, которые можно узнать в VLAN, не указано.

Отображение и ведение таблицы MAC адресов

Шаг Команда Поправки
1. Отображение информации таблицы MAC адресов. display mac-address [mac-address [ vlan vlan-id ] | [ [ dynamic | static ] [ interface interface-type interface-number ] | blackhole ] [ vlan vlan-id ] [ count ] ] [ | { begin | exclude | include } regular-expression ] Допустимо в любом виде
2. Отобразите записи таблицы MAC адресов для нескольких портов одноадресной рассылки. display mac-address multiport [ vlan vlan-id ] [ count ] [ | { begin | exclude | include } regular-expression ] Допустимо в любом виде
3. Отображение таймера старения для динамических записей MAC адресов. display mac-address aging-time [ | { begin | exclude | include } regular-expression ] Допустимо в любом виде

Заключение

По общему признанию, когда дело доходит до MAC, мужчины склонны думать о фантастическом компьютере, а женщины - о красоте. Но когда мы слышим термин «MAC адрес», теперь мы понимаем, что говорим о совершенно другом звере. Поскольку MAC адреса являются уникальными для сетевой карты и не используются повторно, они весьма полезны и важны в приложениях. Сетевые коммутаторы хранят список MAC адресов, видимых на каждом порту, и только перенаправляют пакеты на порты, которые должны видеть пакет. Точки беспроводного доступа часто используют MAC адреса для контроля доступа. Они разрешают доступ только для известных устройств. Кроме того, серверы DHCP (протокол динамической конфигурации хоста) используют MAC адрес для идентификации устройств и дают некоторым устройствам фиксированные IP адреса .


60
18.2k

Вас также может заинтересовать