Mengapa tidak beralih menulis ulang alamat mac?

Apakah ada alasan khusus mengapa switch Ethernet tidak mengubah alamat MAC suatu paket?

Apakah ini untuk identifikasi host akhir menggunakan alamat MAC, atau yang lainnya?

Jika sebuah saklar mengubah alamat MAC, ini akan merusak jaringan sepenuhnya.

Alamat MAC adalah pengidentifikasi unik yang digunakan oleh host di jaringan lokal.

Jika saklar mengubah tujuan MAC, frame tidak akan dikirimkan ke host yang sesuai. Dalam kasus yang akan, misalnya jika bingkai terkena banjir, tuan rumah tujuan akan menjatuhkannya karena itu tidak lagi diperuntukkan bagi tuan rumah.

Jika sakelar mengubah alamat MAC sumber, host tujuan akan menggunakan alamat MAC ini untuk respons apa pun (termasuk memperbarui entri ARP dengan data buruk). Ini akan menghasilkan situasi yang sama dengan yang saya jelaskan, hanya untuk semua lalu lintas kembali.

Ini selanjutnya dapat menciptakan masalah dengan hal-hal seperti 802.1X dan mekanisme lain yang menggunakan alamat MAC untuk mengidentifikasi / mengklasifikasikan perangkat.

Bisakah mekanisme dikembangkan untuk melakukan ini? Saya yakin mereka bisa. Tetapi tidak ada alasan untuk melakukannya pada saat ini dan ini hanya akan menyulitkan jaringan dan menambah pemrosesan yang tidak perlu. Kami tidak mendekati melelahkan kumpulan alamat MAC yang tersedia sehingga tidak perlu untuk sesuatu seperti MAT (tidak tahu apakah konsep terjemahan alamat MAC bahkan ada di mana saja jadi mungkin saya baru saja menciptakan istilah?).

Penulisan ulang alamat datagram terjadi pada layer 3 misalnya ketika gateway (router atau firewall) yang menjalankan NAT menulis ulang alamat IP host di jaringan dalam sehingga semuanya muncul dari satu (atau beberapa) alamat IP eksternal pada gateway itu sendiri.

Alasan untuk sesuatu yang serupa tidak terjadi pada level layer 2 (di mana kita menggunakan alamat MAC untuk membedakan host dan switch melakukan pergerakan datagram, yaitu frame) adalah seperti dikatakan dalam komentar di atas bahwa benar-benar tidak perlu untuk itu.

Dalam kasus lapisan tiga dengan NAT, NAT memecahkan sejumlah masalah:

• Alamat IP digunakan untuk komunikasi global, dan ada kumpulan alamat IP yang tersedia yang harus dibagikan. Dengan menggunakan NAT, orang memastikan bahwa sejumlah besar host internal dapat berbagi lebih sedikit (biasanya hanya satu) alamat IP yang terlihat di internet publik.
• Penulisan ulang alamat IP dianggap oleh beberapa tetapi tidak semua orang menambahkan lapisan keamanan dengan menyamar alamat IP dari mesin internal.

Jadi, jika kita tetap dengan contoh NAT, benar-benar tidak perlu untuk lawan dua lapisan NAT.

• Alamat MAC tidak digunakan secara global untuk menangani datagram di internet, mereka digunakan untuk mengirim frame ke host yang tepat di subnet lokal. Karena subnet lokal relatif kecil, dan jumlah kemungkinan alamat MAC sangat besar, maka seseorang tidak "kehabisan" alamat MAC yang tersedia pada level layer 2. (Opsi untuk mengkonfigurasi ulang alamat MAC NIC secara manual ke nilai arbitrer tidak mengubah ini)
• Dan untuk manfaat keamanan yang dapat diperdebatkan dari penulisan ulang alamat datagram ketika meneruskan: Karena alamat MAC hanya digunakan dalam subnet lokal, seseorang biasanya memiliki, secara relatif, kontrol yang jauh lebih baik dari perspektif keamanan atas subnet itu (secara fisik maupun sebagian besar perangkat yang terlibat) dibandingkan dengan mitra dalam kasus layer 3, yang merupakan seluruh internet (yang kita sebagai pengguna yang terhubung dan insinyur jaringan dalam praktiknya tidak memiliki kontrol keamanan atas).

Semoga ini menjelaskan mengapa switch tidak menulis ulang alamat MAC. Satu-satunya lapisan 3 kasus saya datang dengan dari atas kepala saya adalah NAT, yang lain tentu dapat memberikan contoh kasus lapisan 3 lainnya di mana IP penulisan ulang diperlukan (dan mengapa teknologi tersebut tidak benar-benar masuk akal pada tingkat lapisan 2) .

Menulis ulang alamat MAC akan menambah kompleksitas yang cukup besar (saklar harus tahu tentang protokol tingkat tinggi seperti arp sehingga dapat menulis ulang resolusi alamat), akan membuat pemecahan masalah lebih sulit, akan mencegah protokol seperti STP dari bekerja dan umumnya akan menjadi PITA. Ini juga biasanya tidak diperlukan.

Yang tidak berarti itu tidak mungkin. ebtables (layer 2 counterpart to iptables) memang memiliki beberapa opsi untuk terjemahan alamat MAC. Ini bisa berguna jika Anda memiliki sakelar yang tidak menggunakan tabel MAC per-vlan dan Anda ingin melakukan beberapa penyaringan layer 2.

http://ebtables.netfilter.org/examples/example1.html