Функция MAC Pinning в Ethernet-коммутаторах ZyXEL

Для чего нужна функция MAC Pinning в Ethernet-коммутаторах ZyXEL?


Функция MAC Pinning позволяет запретить перемещение динамически изученных MAC-адресов в таблице коммутации Ethernet-коммутатора.
 
При получении Ethernet-кадра, коммутатор добавляет запись в свою таблицу коммутации с сопоставлением порта на который был получен данный кадр с MAC-адресом подключенного устройства, а также заносит номер VLAN к которому принадлежит хост. Таблица коммутации используется в дальнейшем коммутатором для принятия решения о пересылке Ethernet-кадров. Динамически изученные MAC-адреса имеют определенное время жизни.
 
При получении коммутатором Ethernet-кадра с MAC-адресом источника ранее уже изученного хоста в том же VLAN на свой другой порт, коммутатор немедленно обновляет свою таблицу коммутации, удаляя прежнюю запись и добавляя новую с привязкой MAC-VLAN к новому порту.
 
Функция MAC Pinning позволяет явно указать порт(ы), имеющие приоритет в изучении MAC-адресов. Это означает что на тех портах, где включена функция MAC Pinning, изученные коммутатором MAC-адреса хостов (и их VLAN-ID) не могут быть перенесены (изучены) на любом другом порту коммутатора до тех пор, пока не истечет время жизни динамической записи в MAC-таблице.
 
Функция MAC-Pinning помогает повысить безопасность. Рассмотрим пример:
 
К коммутатору подключены клиенты, работающие с сервером. Злоумышленник (А) хочет выдать себя за сервер (В) с целью перехвата пользовательских сообщений. Для этого злоумышленник начинает рассылать сообщения к хостам, подменяя свой MAC-адрес (MAC spoofing) на MAC-адрес сервера, пытаясь выдать себя за сервер и вынуждая коммутатор обновить запись в MAC-таблице. Если же на порту коммутатора, к которому подключен сервер, включена функция MAC Pinning, коммутатор не будет обновлять свою MAC-таблицу и клиенты будут отправлять данные к исходному серверу, а попытка злоумышленника выдать себя за сервер провалится.
 
Настройка функции MAC Pinning производится через веб-конфигуратор устройства из раздела Advanced Application -> MAC Pinning.
 
Возможна настройка через CLI:
 
sysname(config)# interface port-channel 1
sysname(config-interface)# mac-pinning
sysname(config-interface)# exit
sysname(config)# exit
sysname# show mac-pinning
 
Функция MAC Pinning работает "в одну сторону" - на запрет перемещения изученного MAC-VLAN с порта, где функция включена, на любой другой. Включение функции MAC Pinning на порту не запрещает появление на нем MAC-VLAN, изученных ранее на других портах, где эта функция выключена.
 
Внимание! Функции MAC Pinning и Port Security не могут использоваться одновременно на одном порту.

KB-4726

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Комментарии

0 комментариев