Hva er hensikten med MAC Pinning-funksjonen i ZyXEL Ethernet Switches?
MAC Pinning funksjonen kan du forby bevegelsen av dynamisk lært MAC-adresser i koblingstabellen av en Ethernet-svitsj.
Når en Ethernet-ramme mottas, legger bryteren til en oppføring i byttebordet med portkartleggingen som denne rammen ble mottatt med den tilkoblede enhetens MAC-adresse, og skriver VLAN-nummeret som verten tilhører. Bryterbordet brukes deretter av bryteren til å bestemme videresending av Ethernet-rammer. Dynamisk lærte MAC-adresser har en bestemt levetid.
Når bryteren mottar en Ethernet-ramme med MAC-adressen til en tidligere lært vert i samme VLAN til den andre porten, oppdaterer bryteren umiddelbart bryterbordet, sletter den gamle oppføringen og legger til en ny MAC-VLAN-binding til den nye porten .
MAC Pinning-funksjonen lar deg eksplisitt spesifisere port (er) som prioriterer læring av MAC-adresser. Dette betyr at vertsens MAC-adresse-adresser (og deres VLAN-ID-er) som læres av bryteren, ikke kan overføres (læres) på noen annen bryterport til de dynamiske opptakene i MAC-tabellen.
Eksempel
MAC-Pinning-funksjonen bidrar til å øke sikkerheten. Tenk på et eksempel:
Kunder som jobber med serveren er koblet til bryteren. Angriperen (A) ønsker å utgi seg for en server (B) for å fange opp brukermeldinger. For å gjøre dette begynner angriperen å sende meldinger til vertene, og erstatte sin MAC-adresse (MAC-spoofing) med serverens MAC-adresse, prøver å etterligne serveren og tvinge bryteren til å oppdatere MAC-tabelloppføringen. Hvis MAC Pinning-funksjonen er aktivert på bryterporten som serveren er koblet til, oppdaterer bryteren ikke MAC-tabellen, og klienter vil sende data til kildeserveren, og angriperens forsøk på å utgi seg for serveren mislykkes.
Konfigurasjon
MAC Pinning-funksjonen konfigureres via enhetens nettkonfigurator fra seksjonen Advanced Application -> MAC Pinning .
Konfigurerbar via CLI:
sysname(config)# interface port-channel 1
sysname(config-interface)# mac-pinning
sysname(config-interface)# exit
sysname(config)# exit
sysname# show mac-pinning
MAC Pinning-funksjonen fungerer “en vei” - for å forby bevegelse av det lærte MAC-VLAN fra porten der funksjonen er aktivert til en hvilken som helst annen. Aktivering av MAC Pinning-funksjonen i en port forhindrer ikke utseendet på en MAC-VLAN, tidligere studert i andre porter der denne funksjonen er deaktivert.
Merk følgende! MAC Pinning og Port Sikkerhetsfunksjonene kan ikke brukes samtidig på samme port.
FRASKRIVELSE:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse til å levere artikler på ditt lokale språk. Ikke all tekst kan oversettes nøyaktig. Hvis det er spørsmål eller avvik med hensyn til nøyaktigheten til informasjonen i den oversatte versjonen, kan du lese originalartikkelen her: Originalversjon