secure MAC
Có phải ý của trannam hỏi về tính năng của IOS Switch chỉ cho 1 số thiết bị cắm vào port dựa vào MAC của thiết bị ko nhỉ?. Nếu vậy mình giải thích sơ sơ sau, muốn biết chi tiết tham khảo bài LAB và hướng dẫn sau:





Port Security:
Là cơ chế: mà 1 port của Switch chấp nhận "thay đổi địa chỉ MAC" (Chấp nhận thay đổi Host) kết nối vào
Đặc điểm:
- Port phải ở chế độ access.
- Số lần thay đổi tối thiểu là 1 và tối đa là 1024 mặc định là 1.
- Khi địa chỉ MAC (của host mà bạn cấu hình lệnh trên port) không đúng port sẽ chuyển sang trạng thái lỗi.
Khôi phục: 2 cách.
C1: Thủ công shutdown rồi no shut lại trên port switch.
C2: Tự động, dùng lệnh xem trong bài LAB.

Thân.

Ý em không phải chức năng port-security

Ý em hỏi các option của lệnh mac-address-table {dynamic | secure| static}. Ban đầu em nghĩ là hiểu dynamic, static, nhưng giờ lại hết hiểu rồi.

Theo em biết thì bảng mac-address-table chứa thông tin các địa chỉ mac tương ứng với port nào, trong quá trình các packet được gởi trên mạng. vậy tại sao lại có lệnh để gán dynamic mac vào bảng mac address?

Anh có thể giải thích dùm em ý nghĩa của 3 option này?

Thanks anh

hi pác trannam
* mac-address-table dynamic cho biết switch học địa chỉ source MAC address của gói tin xuất phát từ một port nào đó (vd: 1 PC gắn vào port e0 trên switch, địa chỉ source MAC address là địa chỉ MAC của PC) đồng thời lưu vào bảng mac-address-table, hết thời gian agging times fault là 300s mà khi PC không còn sử dụng port này nữa (đã disconnect) thì switch remove địa chỉ này ra khỏi mac-address-table.
* mac-address-table static: add bằng tay vào một địa chỉ MAC tương ứng với một port và chỉ có thể remove khỏi mac-address-table bằng tay mà thôi. địa chị MAC gắn vào bằng câu lệnh static có thể là địa chỉ unicast hay multicast, phương thức này không có thời gian agging time và địa chỉ MAC vẫn được lưu lại khi switch reboot.
* mac-address-table secure: đây là một trong những phương pháp để phòng tránh ARP Spoof, bằng cách này thường gắn một địa chỉ MAC đặc biệt của thiết bị router hay firewall nào đấy cho port. Khi một port được cấu hình trong câu lệnh mac-address-table secure [AAAA.BBBB.CCCC fastethernet 0/1]. thì nếu có sự xung đột về security chẳng hạn ta gán một thiết bị khác có địa chỉ MAC khác với cậu lệnh mac-address-table secure AAAA.BBBB.CCCC fa0/1 thì port này sẽ bị disable ngay.
Thân mến

Static thì em đã hiểu, nhưng dynamic thì đã là dynamic thì sao lại phải add vào bảng mac address?

Còn chức năng mac-address-table secure thì nó khác với chức năng port security thế nào? Tại sao phải có cả 2 cái này?

Thanks

hi pác,
Trong kĩ thuật phòng tránh ARP spoofing thì chia ra một số tính năng sau:
* MAC Limiting: đại điện là port security
Đây là một phương pháp làm giảm khả năng giả mạo MAC address ( MAC address spoofing) là giới hạn số lượng địa chỉ MAC cho phép được nhận trên một port của switch tại một bất kì một thời điểm đã cho. Chỉ có duy nhất một MAC address được cho phép trên một port một lần. Nếu số lượng này bị vượt quá trước khi MAC address trước hết thời gian aging-time (default là 5 phút), nghĩa là port đang còn lưu thông tin của MAC1 chưa hết thời gian aging-time thì MAC2 vào. Khi đó port sẽ tự động shutdown và chờ đợi sự can thiệp bằng tay, thời gian MAC aging có thể điều chỉnh bằng câu lệnh mac aging-time <time>
VD: interface FastEthernet0/1
port security
port security max-mac-count 1<- giới hạn 1 MAC address trên port Fa0/1
port security action shutdown

* MAC Hardcoding: đại điện là mac-address-table secure
Bằng cách này thường gắn một địa chỉ MAC đặc biệt của thiết bị router hay firewall nào đấy cho port. Khi một port được cấu hình trong câu lệnh vd: mac-address-table secure [AAAA.BBBB.CCCC fastethernet 0/1]. Thì giả sử ta đem thiết bị có địa chỉ MAC: AAAA.BBBB.CCCC sang gắn vào port khác vd: port fa0/2 thì switch sẽ disable fa0/2 ngay.
VD: mac-address-table secure AAAA.BBBB.CCCC fastethernet 0/1
Thân mến

Cám ơn anh,

Em đã hiểu về port-security và secure mac. Còn cái dynamic thì em vẫn chưa hiểu tại sao đã là dynamic mà lại add và bảng mac? Anh giải thích luôn dùm em chỗ này đi.

Thanks anh

sory pac trannam, quên trả lời nốt câu của pác,
Để rõ hơn mình lấy ví dụ sau:
Giả sử 1 PC_A có địa chỉ MAC là MAC_A gán vào một port Fa0/1 trên SW và gửi frame đến PC_B có địa chỉ là MAC_B gán trên port Fa0/2. Khi đó thì sw sẽ tự động học địa chỉ MAC_A lưu vào bảng MAC. Sau đó khoảng thời gian default là 300s:

TH1: MAC_A ko gửi frame nào nữa thì sw sẽ remove MAC_A ra khỏi bảng MAC. Lúc này nếu PC_B gửi frame đến cho PC_A thì sw không gửi trực tiếp đến port Fa0/1 có MAC_A (vì MAC_A đã bị remove ra khỏi bảng MAC) mà là flood gói frame đựoc gửi từ PC_B ra tất cả các port trên ngoại trừ port của PC_B Fa0/2. Như vậy ở đây MAC_B gửi cho MAC_A theo dạng flood frame.

TH2: Giả sử lúc này đem PC_A gắn vào port Fa0/3 và PC_A không gửi gói frame nào cả, thì SW cũng chưa học đựơc MAC_A. Nếu lúc này PC_B gửi tiếp frame cho PC_A thì cũng là flood frame ra tât cả các port trừ port Fa0/2
Như vậy: để PC_B gửi frame chính xác đến port Fa0/3 và tránh flood đến tất cả các port, mà PC_A không cần gửi frame nào trước, thì ta có thể add một entry vào bảng MAC, để cho bảng MAC cập nhật MAC_A vào. Và ta có thể dùng lênh mac-address-table dynamic MAC_A Fa0/3.

Cám ơn anh đã trả lời.

Nhưng theo cách làm là add địa chỉ MAC_A vào port f0/3 thì sao giống static vậy? Em chưa thấy được sự khác nhau giữa static và dynamic. Cái nào cũng phải config cố định địa chỉ MAC tương ứng với port cả.

Nam

Xin cho tôi hỏi hơi lạc đề 1 chút:tôi thấy người ta khi muốn capture tại switch người ta dùng driver+ chương trình tạo nhiều gói tin với các MAC khác nhau để làm cho switch trở nên broadcast--->để capture data.Tôi ko hiểu cơ chế này như thế nào,bạn nào biết chỉ dùm.Có cách nào chống chuyện này ko?Cám ơn

hi tamii

chương trình tạo ra các mac khác nhau là tạo ra mac nguồn hay mac đích của frame?

hi pác trannam,
Tất nhiên pác có thể add bằng static điểm khác biệt là khi không dùng Fa0/3 cho PC_A nữa mà gắn một PC khác vào và gửi frame thì SW không học được MAC của PC mới gắn vào, vì mình đã gắn static Fa0/3 cho PC_A, phải remove ra bằng tay. Còn nếu add bằng Dynamic thì khi gắn PC mới vào gửi frame đi thì SW sẽ học được MAC của PC mới ngay khi PC mới gửi frame đi.
Thân mến

cả MAC đích lẫn nguồn của frame(floods a switched network with Ethernet frames with random hardware addresses. The effect on some switches is that they start sending all traffic out on all ports so you can sniff all traffic on the network.)

hi tamii

mỗi khi switch nhận được frame có địa chỉ MAC là "unknown", switch sẽ phát tán frame đó ra khỏi các cổng.

xem thêm ở link này: