Mengapa tidak beralih menulis ulang alamat mac?

10

Apakah ada alasan khusus mengapa switch Ethernet tidak mengubah alamat MAC suatu paket?

Apakah ini untuk identifikasi host akhir menggunakan alamat MAC, atau yang lainnya?

pengguna2720323
sumber
5
Misalkan nama Anda adalah Kumar. Apakah Anda suka jika orang-orang mulai memanggil Anda "Jessica"?
Mike Pennington
1
switch tidak menulis ulang paket (frame); mereka hanya memindahkannya dari antarmuka ke antarmuka. (dalam hal siaran / multicast, ini termasuk menyalin ke beberapa port.)
Ricky Beam
4
Bisakah Anda memikirkan alasan yang valid mengapa saklar harus mengubah alamat MAC?
Teun Vink
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

10

Jika sebuah saklar mengubah alamat MAC, ini akan merusak jaringan sepenuhnya.

Alamat MAC adalah pengidentifikasi unik yang digunakan oleh host di jaringan lokal.

Jika saklar mengubah tujuan MAC, frame tidak akan dikirimkan ke host yang sesuai. Dalam kasus yang akan, misalnya jika bingkai terkena banjir, tuan rumah tujuan akan menjatuhkannya karena itu tidak lagi diperuntukkan bagi tuan rumah.

Jika sakelar mengubah alamat MAC sumber, host tujuan akan menggunakan alamat MAC ini untuk respons apa pun (termasuk memperbarui entri ARP dengan data buruk). Ini akan menghasilkan situasi yang sama dengan yang saya jelaskan, hanya untuk semua lalu lintas kembali.

Ini selanjutnya dapat menciptakan masalah dengan hal-hal seperti 802.1X dan mekanisme lain yang menggunakan alamat MAC untuk mengidentifikasi / mengklasifikasikan perangkat.

Bisakah mekanisme dikembangkan untuk melakukan ini? Saya yakin mereka bisa. Tetapi tidak ada alasan untuk melakukannya pada saat ini dan ini hanya akan menyulitkan jaringan dan menambah pemrosesan yang tidak perlu. Kami tidak mendekati melelahkan kumpulan alamat MAC yang tersedia sehingga tidak perlu untuk sesuatu seperti MAT (tidak tahu apakah konsep terjemahan alamat MAC bahkan ada di mana saja jadi mungkin saya baru saja menciptakan istilah?).

YPelajari
sumber
4

Penulisan ulang alamat datagram terjadi pada layer 3 misalnya ketika gateway (router atau firewall) yang menjalankan NAT menulis ulang alamat IP host di jaringan dalam sehingga semuanya muncul dari satu (atau beberapa) alamat IP eksternal pada gateway itu sendiri.

Alasan untuk sesuatu yang serupa tidak terjadi pada level layer 2 (di mana kita menggunakan alamat MAC untuk membedakan host dan switch melakukan pergerakan datagram, yaitu frame) adalah seperti dikatakan dalam komentar di atas bahwa benar-benar tidak perlu untuk itu.

Dalam kasus lapisan tiga dengan NAT, NAT memecahkan sejumlah masalah:

  • Alamat IP digunakan untuk komunikasi global, dan ada kumpulan alamat IP yang tersedia yang harus dibagikan. Dengan menggunakan NAT, orang memastikan bahwa sejumlah besar host internal dapat berbagi lebih sedikit (biasanya hanya satu) alamat IP yang terlihat di internet publik.
  • Penulisan ulang alamat IP dianggap oleh beberapa tetapi tidak semua orang menambahkan lapisan keamanan dengan menyamar alamat IP dari mesin internal.

Jadi, jika kita tetap dengan contoh NAT, benar-benar tidak perlu untuk lawan dua lapisan NAT.

  • Alamat MAC tidak digunakan secara global untuk menangani datagram di internet, mereka digunakan untuk mengirim frame ke host yang tepat di subnet lokal. Karena subnet lokal relatif kecil, dan jumlah kemungkinan alamat MAC sangat besar, maka seseorang tidak "kehabisan" alamat MAC yang tersedia pada level layer 2. (Opsi untuk mengkonfigurasi ulang alamat MAC NIC secara manual ke nilai arbitrer tidak mengubah ini)
  • Dan untuk manfaat keamanan yang dapat diperdebatkan dari penulisan ulang alamat datagram ketika meneruskan: Karena alamat MAC hanya digunakan dalam subnet lokal, seseorang biasanya memiliki, secara relatif, kontrol yang jauh lebih baik dari perspektif keamanan atas subnet itu (secara fisik maupun sebagian besar perangkat yang terlibat) dibandingkan dengan mitra dalam kasus layer 3, yang merupakan seluruh internet (yang kita sebagai pengguna yang terhubung dan insinyur jaringan dalam praktiknya tidak memiliki kontrol keamanan atas).

Semoga ini menjelaskan mengapa switch tidak menulis ulang alamat MAC. Satu-satunya lapisan 3 kasus saya datang dengan dari atas kepala saya adalah NAT, yang lain tentu dapat memberikan contoh kasus lapisan 3 lainnya di mana IP penulisan ulang diperlukan (dan mengapa teknologi tersebut tidak benar-benar masuk akal pada tingkat lapisan 2) .

IllvilJa
sumber
3
Spot-on, tapi saya punya satu berdalih kecil dengan jawaban Anda. Anda menyebutkan bahwa "benar-benar tidak perlu untuk lapisan dua mitra NAT" ... sementara saya belum melihat MAC NAT, saya telah melihat tunneling tingkat mac. Dalam beberapa keadaan, masuk akal untuk beralih ke "tunnel" alamat mac di dalam alamat mac lainnya. Situasi yang langsung muncul di pikiran adalah IEEE 802.1ah Provider Based Bridging (PBB) . Biasanya, ini digunakan untuk skala vlan yang tersedia / mengurangi pembelajaran mac di cincin penyedia layanan metro
Mike Pennington
1
@IllvilJa: Baik kata ..! Anda memecahkan keraguan yang membingungkan saya beberapa minggu terakhir. Beberapa minggu yang lalu, saya berpikir sebagai berikut ... "sebuah router, ketika berurusan dengan WAN, cenderung untuk menempatkan alamat MAC-nya daripada alamat MAC pengirim (pada setiap paket) dan meneruskan paket-paket ke penerima. Tetapi dalam kasus LAN, router tidak menempatkan alamat MAC-nya alih-alih alamat MAC pengirim (pada setiap paket) tetapi hanya melewati paket antara pengirim dan penerima "Tapi setelah penjelasan Anda, saya sudah cukup jelas untuk membedakan antara 'router' & ' sebuah saklar '. Terima kasih lagi..!
Maharan
0

Menulis ulang alamat MAC akan menambah kompleksitas yang cukup besar (saklar harus tahu tentang protokol tingkat tinggi seperti arp sehingga dapat menulis ulang resolusi alamat), akan membuat pemecahan masalah lebih sulit, akan mencegah protokol seperti STP dari bekerja dan umumnya akan menjadi PITA. Ini juga biasanya tidak diperlukan.

Yang tidak berarti itu tidak mungkin. ebtables (layer 2 counterpart to iptables) memang memiliki beberapa opsi untuk terjemahan alamat MAC. Ini bisa berguna jika Anda memiliki sakelar yang tidak menggunakan tabel MAC per-vlan dan Anda ingin melakukan beberapa penyaringan layer 2.

http://ebtables.netfilter.org/examples/example1.html

Peter Green
sumber