câu hỏi này hơi khó trả lời (vì khi hiểu về MAC address thì chẳng ai hỏi vậy) :p
nên đành để đó cho bác tự ngkíu thêm chút. Tớ hỏi 2 câu:
- Bác đã học mô hình OSI chưa? đã hình dung ra được "dòng chảy" của dữ liệu từ host này qua host kia chưa? (cụ thể là từ application trên máy này đến application trên máy kia)
- Tại sao quá trình communication phải chia ra tới 7 layers lằng nhằng vậy? vai trò của mỗi layer? (chỉ cần focus vô layer 1, 2, 3 thôi đã).

Cái này chú chỉ cần hiểu quá trình làm việc của thiết bị lớp 2: Switch,
Và MAC là xác định duy nhất một card mạng thôi.

Địa chỉ MAC giúp các máy trong một mạng Ethernet định vị ra nhau. Một cách tổng quát, MAC là địa chỉ lớp 2 của một máy.



Các địa chỉ MAC có chiều dài 6bytes, thường bao gồm 3 loại:
Unicast: Bit I/G là bit có trọng số lớn nhất trong octet có trọng số lớn nhất được gán bằng 0.
Broadcast: Là một địa chỉ tượng trưng cho tất cả các thiết bị trong mạng LAN segment ở một thờI điểm. Địa chỉ này có dạng 0xFFFF.FFFF.FFFF.
Multicast: Bit I/G được gán bằng 1.

Các tài liệu IEEE chỉ ra các địa chỉ Ethernet với các bit có trọng số lớn nhất bên trái. Tuy nhiên bên trong mỗi octet, bit nằm bên trái nhất lại là bit có trọng số thấp nhất; bit nằm bên phải nhất thì được gọi là bit có trọng số lớn nhất. Nhiều tài liệu gọi dạng địa chỉ này là non-canonical. Bất chấp thuật ngữ nào được dùng, thứ tự bit bên trong mỗi octet là quan trọng để có thể hiểu được ý nghĩa của hai bit có trọng số lớn nhất trong một địa chỉ Ethernet:

The Individual/Group (I/G) bit: Nếu địa chỉ là unicast, I/G=0, nếu là multicast hay broadcast, I/G=1.
The Universal/Local (U/L) bit: nếu bit này = 0, địa chỉ vendor được gán. Nếu bit U/L=1: địa chỉ này đã được người quản trị dùng và ghi đè lên giá trị do nhà sản xuất gán.

Bit I/G sẽ chỉ ra khi nào địa chỉ MAC là tượng trưng 1 một thiết bị đơn lẻ hay một nhóm các thiết bị. Bit U/L sẽ chỉ ra các địa chỉ được cấu hình cục bộ. Ví dụ, địa chỉ multicast được dùng bởi IP Multicast luôn được bắt đầu bằng 0x01005E. Giá trị hex 01 chuyển sang dạng nhị phân là 00000001, với giá trị bit most significant bằng 1, xác nhận việc sử dụng bit I/G.

Như vậy, địa chỉ MAC cho cả ba trường hợp multicast/unicast/broadcast được quyết định dựa trên ý nghĩa của vị trí một số bit trong các octet địa chỉ.

Ở cấp độ ccna, có thể bạn cần nắm thông tin là địa chỉ mac chia thành hai phần, một phần do nhà sản xuất qui định, một phần gọi là OUI, do IEEE qui định dành cho các vendor.

cám ơn anh Minh giúp em hiểu rõ phần này

Thực ra ở CCNA ko cần phân tích chi tiết như "sếp" Minh chỉ khiến người mới học cảm thấy "sợ" thôi :D mà điều quan trọng là phải nắm được vì sao cần phải có MAC address? liệu 2 thiết bị ở xa nhau nếu sử dụng MAC address có thể communicate với nhau được không? vì sao đã có địa chỉ MAC lại còn sinh ra thêm địa chỉ IP? và vì sao đã có địa chỉ IP đáp ứng cho việc communicate rồi mà vẫn phải cần địa chỉ MAC? để từ đó người học bước vào các khái niệm ARP, RARP... và từ từ thấu hiểu quá trình truyền nhận data (điều mà người mới học luôn lọt vào hoàn cảnh mập mờ)

Mình thấy nói như Mr. Minh là rất hay & cần thiết đó chứ , giúp cho ta hiểu rõ thêm bản chất vấn đề ...

Theo một số tài liệu , mục đích dùng IP khi communication (thay vì dùng trực tiếp MAC) là muốn che dấu thông tin hardware (NIC) của người dùng !

vâng! thì tớ đâu có nói là ko hay & ko cần thiết đâu :p
chỉ có điều bạn umbala_lenguyen là người mới học mạng thì mình chỉ đưa ra những câu hỏi gợi mở để bác ấy định hướng khi học thôi ;) chứ tìm hiểu kỹ càng chi li về MAC address rồi mà lại không có cái nhìn tổng thể vấn đề thì cũng như không. Vậy nên mình mới gợi ý bác ấy về mô hình OSI, về lớp 1, 2, 3 chứ nếu chỉ nhấn vào mỗi layer 2 thôi (như bác wlansecu nói) thì cũng chưa thể nhìn nhận được sâu xa.

sẵn vấn đề này tớ sẽ nói thế này: nếu hệ thống mạng trên thế giới chỉ đánh địa chỉ MAC duy nhất cho thiết bị thì bạn nghĩ sao khi các thiết bị hỏng & phải thay thế? có lẽ hệ thống địa chỉ lúc đó sẽ "loạn" cả lên nhỉ :)

Tiện mình cũng có thắc mắc , tại sao trong wireless thì có thể biết được PC nào giả MAC ,còn trong LAN thì thua luôn , ko thể xác định được ?

Nghe nói , khi có 2 MAC cùng giống nhau (ví dụ PC này dùng tool để tạo ra MAC giả giống 1 PC khác trong Lan) , thì switch & router sẽ bị tình trạng chập chờn , ko phân biệt được ... có giải pháp nào khắc phục vấn đề này chăng ? nếu có ACL dựa trên MAC thì ACL này còn hoạt động đúng trong trường hợp này chăng ?

Thanks all !

Ko ai support giùm mình vậy ? Hơi buồn ...:mad:

Switch và Router thi ko bị chập chờn gì đâu. Chỉ có client sẽ bị connect sai đến tbị khác mà thôi.
Mạng sẽ chập chờn khi giả mac của defaut gateway. Khi đó mọi ng sẽ ko ra được internet or sang mạng khác.
Giải pháp tạm thời : add static Mac trên PC và trên Switch.
Giải pháp tốt nhất : scan mạng, tìm ra thằng giả Mac, shutdown cổng switch cho nó ko bao giờ vào mạng được nữa. hehe
TC

Mình nghĩ bạn chưa test thực tế , vì trên thực tế thật ko đơn giản như bạn nói , ý tưởng và thực tế là 2 cái khác nhau xa lắm bạn ah... Anyway ,thanks u...

Hi netsh

trong switch có một tính năng gọi là DAI (Dynamic ARP inspection). Nếu bạn quan tâm đến tính năng này thì mình xin hầu chuyện về chủ đề này.

Hic hic hic , sao 1 tuần rồi mà ko thấy anh Minh support giùm em cái ...

Dynamic ARP Inspection

Một switch có thể dùng tính năng DAI để ngăn ngừa vài kiểu tấn công sử dụng các thông điệp ARP IP. Để đánh giá các kiểu tấn công này hoạt động như thế nào, bạn cần phải nhớ vài chi tiết về nội dung của các thông điệp ARP. Hình dưới đây mô tả một ví dụ đơn giản với cách dùng phù hợp của thông điệp ARP, trong đó PC-A tìm địa chỉ MAC của PC-B.



Theo hình trên, đầu tiên PC-A gửi ra thông điệp ARP request theo kiểu broadcast để tìm kiếm địa chỉ MAC của IP-B (tức là tìm kiếm địa chỉ MAC đích). Sau đó, PC-B gửi ra thông điệp ARP Reply theo kiểu Unicast.

Cũng theo hình trên, các thông điệp ARP không bao gồm một IP Header. Tuy nhiên, nó bao gồm bốn trường quan trọng dùng để chứa các thông tin: địa chỉ MAC và địa chỉ IP nguồn của máy gửi, địa chỉ MAC và địa chỉ IP của máy đích.

Đối với một gói tin (thông điệp) dạng ARP request, địa chỉ đích IP là địa chỉ IP mà nó cần tìm ra MAC, địa chỉ MAC đích sẽ được để trống, vì đây là thông tin còn thiếu. Ngược lại, thông điệp ARP Reply (là một dạng unicast LAN) dùng địa chỉ MAC nguồn là địa chỉ máy trả lời. Địa chỉ IP nguồn của thông điệp ARP Reply là địa chỉ IP của chính máy trả lời.

Một kẻ tấn công có thể hình thành nên kiểu tấn công man-in-the-middle trong môi trường LAN bằng cách dùng gratuitous ARPs. Một gratuitous xảy ra khi một máy gửi một thông điệp ARP Reply mà không thấy một ARP request và gửi về địa chỉ đích Ethernet broadcast. Các thông điệp ARP Reply trong hình 21-4 mô tả ARP reply như là dạng unicast, nghĩa là chỉ có những máy gửi ra yêu cầu sẽ học được ARP entry. Bằng cách broadcast ra các thông điệp gratious ARP, tất cả các máy trên LAN sẽ học ARP entry.

Khi gratuitous ARP có thể được dùng để có hiệu quả tốt, nó cũng có thể được dùng bởi một kẻ tấn công. Kẻ tấn công có thể gửi ra một gratuitous ARP, thông báo địa chỉ của một máy hợp lệ. Tất cả các máy trong mạng (bao gồm router và switch) cập nhận bảng ARP của nó, chỉ đến địa chỉ MAC của máy tấn cống vào sau đó gửi các frame đến máy tấn công thay vì địa chỉ máy thật. Hình dưới đây mô tả tiến trình này.



Các bước mô tả trên hình trên có thể giải thích như sau:
Máy tấn công phát tán các gratuitous ARP chứa IP-B nhưng với MAC-C là địa chỉ nguồn IP và MAC nguồn.
PC-A cập nhật bảng ARP liệt kê địa chỉ IP-B kết hợp với MAC-C.
PC-A gửi một frame đến IP-B nhưng với địa chỉ MAC-C.
SW1 truyền frame đến MAC-C, là địa chỉ của máy tấn công.

Kết quả tấn công nằm ở máy khác, giống như PC-A, gửi frame dự kiến đến IP-B nhưng lại về địa chỉ MAC của MAC-C, là địa chỉ MAC của máy tấn công. Kẻ tấn công sau đó đơn giản gửi ra một bản sao của từng frame về PC-B, trờ thành kiểu tấn công man-in the middle.

Kết quả là, người dùng có thể tiếp tục làm việc và kẻ tấn công có thể nhận được rất nhiều dữ liệu. Switch dùng DAI để ngăn ngừa kiểu tấn công ARP attack bằng cách kiểm tra các thông điệp ARP và sau đó lọc bỏ các thông điệp không phù hợp.

DAI xem xét từng cổng của switch là không tin cậy (mặc định) hay tin cậy, thực hiện các thông điệp DAI chỉ trên những port không tin cậy. DAI kiểm tra từng thông điệp ARP request hay reply trên những port không tin cậy để quyết định xem thông điệp có phù hợp hay không. Nếu không phù hợp, switch sẽ lọc các thông điệp ARP này. DAI sẽ xác định một thông điệp ARP có hợp lệ hay không bằng cách dùng thuật toán sau:

1.Nếu một thông điệp ARP Reply liệt kê một địa chỉ nguồn IP mà không phải do DHCP cấp đến một thiết bị trên cổng đó, DAI sẽ lọc gói tin ARP Reply.

2.DAI dùng thêm các thuật toán tương tự bước 1 nhưng dùng một danh sách của các địa chỉ IP/MAC được cấu hình tĩnh.
3. Đối với một thông điệp ARP Reply, DAI so sánh địa chỉ nguồn MAC trong Ethernet header vớI địa chỉ nguồn MAC trong thông điệp ARP. Các giá trị MAC này phải giống nhau trong thông điệp ARP bình thường. NẾu các giá trị này không giống nhau, DAI sẽ lọc gói tin.
4. Giống như bước 3, nhưng DAI sẽ so sánh địa chỉ MAC đích và địa chỉ MAC liệt kê trong thông thông điệp ARP.

DAI kiểm tra các địa chỉ IP không mong đợi được liệt kê trong thông điệp ARP chẳng hạn như 0.0.0.0, 255.255.255.255, multicasts v.v.v.

Bảng 21-5 liệt kê các lệnh chủ chốt của Cat3550 được dùng để cấu hình DAI. DAI phải được bật ở chế độ toàn cục trước. Ở thời điểm này, tất cả các cổng được DAI xem như là không tin cậy. Một vài cổng, đặc biệt là những cổng kết nối vào những vùng an toàn (là những cổng kết nối vào máy chủ hoặc vào switch khác) cần phải được cấu hình tường minh như là cổng tin cậy. Sau đó, ta cần phải thêm vào các cấu hình khác để bật các tính năng khác nhau.

Ví dụ, DHCP snooping cần phải được bật trước khi DAI có thể dùng cơ sở dữ liệu DHCP snooping để thực hiện thuật toán ở bước 1 trong danh sách trên. Bạn cũng có thể cấu hình địa chỉ IP tĩnh hay thực hiện một vài phép kiểm tra tính hợp lệ bằng cách dùng câu lệnh ip arp inspection.