Was ist der Zweck der MAC-Pinning-Funktion in ZyXEL Ethernet Switches?
Mit der MAC-Pinning- Funktion können Sie das Verschieben dynamisch gelernter MAC-Adressen in der Switching-Tabelle eines Ethernet-Switches verhindern.
Wenn ein Ethernet-Frame empfangen wird, fügt der Switch seiner Switching-Tabelle einen Eintrag mit der Portzuordnung hinzu, zu der dieser Frame mit der MAC-Adresse des verbundenen Geräts empfangen wurde, und schreibt die VLAN-Nummer, zu der der Host gehört. Die Switching-Tabelle wird dann vom Switch verwendet, um über die Weiterleitung von Ethernet-Frames zu entscheiden. Dynamisch gelernte MAC-Adressen haben eine bestimmte Lebensdauer.
Wenn der Switch einen Ethernet-Frame mit der Quell-MAC-Adresse eines zuvor gelernten Hosts im selben VLAN an seinen anderen Port empfängt, aktualisiert der Switch sofort seine Switch-Tabelle, löscht den alten Eintrag und fügt dem neuen Port eine neue MAC-VLAN-Bindung hinzu .
Mit der MAC-Pinning-Funktion können Sie die Ports explizit angeben, die das Lernen von MAC-Adressen priorisieren. Dies bedeutet, dass an den Ports, an denen MAC Pinning aktiviert ist, die vom Switch gelernten MAC-Adressadressen (und deren VLAN-IDs) des Hosts erst nach der dynamischen Aufzeichnung in der MAC-Tabelle an einen anderen Switch-Port übertragen (gelernt) werden können.
Beispiel
Die MAC-Pinning-Funktion erhöht die Sicherheit. Betrachten Sie ein Beispiel:
Clients, die mit dem Server arbeiten, sind mit dem Switch verbunden. Der Angreifer (A) möchte sich als Server (B) ausgeben, um Benutzernachrichten abzufangen. Zu diesem Zweck sendet der Angreifer Nachrichten an die Hosts, ersetzt seine MAC-Adresse (MAC-Spoofing) durch die MAC-Adresse des Servers, versucht, sich als Server auszugeben, und zwingt den Switch, den MAC-Tabelleneintrag zu aktualisieren. Wenn die MAC-Pinning-Funktion an dem Switch-Port aktiviert ist, mit dem der Server verbunden ist, aktualisiert der Switch seine MAC-Tabelle nicht, und Clients senden Daten an den Quellserver, und der Versuch des Angreifers, sich als Server auszugeben, schlägt fehl.
Aufbau
Die MAC-Pinning-Funktion wird über den Webkonfigurator des Geräts im Abschnitt Erweiterte Anwendung -> MAC-Pinning konfiguriert.
Konfigurierbar über CLI:
sysname(config)# interface port-channel 1
sysname(config-interface)# mac-pinning
sysname(config-interface)# exit
sysname(config)# exit
sysname# show mac-pinning
Die MAC-Pinning-Funktion funktioniert in eine Richtung, um die Bewegung des gelernten MAC-VLAN von dem Port, an dem die Funktion aktiviert ist, zu einem anderen zu verhindern. Das Aktivieren der MAC-Pinning-Funktion an einem Port verhindert nicht das Auftreten eines MAC-VLAN, das zuvor an anderen Ports untersucht wurde, an denen diese Funktion deaktiviert ist.
Beachtung! Die Sicherheitsfunktionen MAC Pinning und Port können nicht gleichzeitig an demselben Port verwendet werden.
HAFTUNGSAUSSCHLUSS:
Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise wird nicht der gesamte Text korrekt übersetzt. Wenn Sie Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier: Originalversion