스위치가 Mac 주소를 다시 쓰지 않는 이유는 무엇입니까?


10

이더넷 스위치가 패킷의 MAC 주소를 변경하지 않는 특별한 이유가 있습니까?

MAC 주소 또는 다른 것을 사용하여 최종 호스트를 식별하기위한 것입니까?


5
당신의 이름이 Kumar라고 가정하십시오. 사람들이 당신을 "제시카"라고 부르기 시작하면 좋겠습니까?
Mike Pennington

1
스위치는 패킷 (프레임)을 다시 쓰지 않습니다. 인터페이스에서 인터페이스로 이동합니다. (브로드 캐스트 / 멀티 캐스트의 경우 여기에는 여러 포트로의 복사가 포함됩니다.)
Ricky Beam

4
스위치 MAC 주소를 변경 해야하는 유효한 이유를 생각할 수 있습니까 ?
Teun Vink

어떤 대답이 도움이 되었습니까? 그렇다면 질문에 대한 답변이 계속 나오지 않도록 답변을 수락해야합니다. 또는 자신의 답변을 제공하고 수락 할 수 있습니다.
Ron Maupin

답변:


10

스위치가 MAC 주소를 변경하면 네트워킹이 완전히 중단됩니다.

MAC 주소는 로컬 네트워크의 호스트가 사용하는 고유 식별자입니다.

스위치가 대상 MAC을 변경하려는 경우 프레임이 적절한 호스트로 전달되지 않습니다. 예를 들어, 프레임이 플러딩되는 경우 대상 호스트는 더 이상 호스트를 대상으로하지 않기 때문에 대상 호스트가 프레임을 삭제합니다.

스위치가 소스 MAC 주소를 변경하려는 경우 대상 호스트는 모든 MAC 응답 (잘못된 데이터로 ARP 항목 업데이트 포함)에이 MAC 주소를 사용합니다. 이로 인해 모든 반품 트래픽에 대해 이미 설명한 것과 동일한 상황이 발생합니다.

이로 인해 802.1X 및 MAC 주소를 사용하여 장치를 식별 / 분류하는 다른 메커니즘에 문제가 발생할 수 있습니다.

이를 위해 메커니즘을 개발할 수 있습니까? 나는 그들이 할 수 있다고 확신한다. 그러나이 시점에서 그렇게 할 이유가 없으므로 네트워킹이 복잡해지고 불필요한 처리가 추가됩니다. 우리는 사용 가능한 MAC 주소 풀을 고갈시키지 않기 때문에 MAT와 같은 것이 필요하지 않습니다 (MAC 주소 변환의 개념이 어디에도 있는지 알지 못하므로 용어를 만들었 을까요?).


4

예를 들어 NAT를 실행하는 게이트웨이 (라우터 또는 방화벽)가 내부 네트워크에있는 호스트의 IP 주소를 다시 작성하여 게이트웨이 자체의 하나 (또는 ​​몇 개의) 외부 IP 주소에서 표시되는 경우 데이터 그램 주소의 재기록은 계층 3에서 발생합니다.

계층 2 수준에서 발생하지 않는 비슷한 이유 (MAC 주소를 사용하여 호스트와 스위치를 구별하여 데이터 그램 이동, 즉 프레임)는 실제로 필요하지 않다는 의견에서 언급 한 바와 같습니다.

NAT를 사용하는 계층 3의 경우 NAT는 여러 가지 문제를 해결합니다.

  • IP 주소는 글로벌 통신에 사용되며 공유해야하는 제한된 IP 주소 풀이 있습니다. NAT를 사용하면 더 많은 수의 내부 호스트가 공용 인터넷에서 볼 수있는 더 적은 (일반적으로 하나의) IP 주소를 공유 할 수 있습니다.
  • IP 주소의 재 작성은 내부 머신의 IP 주소를 가장하여 일부 보안 계층을 추가하는 것은 아닙니다.

따라서 NAT 예제를 고수하면 NAT의 레이어 2에 대응할 필요가 없습니다.

  • MAC 주소는 인터넷에서 데이터 그램의 주소를 지정하는 데 전 세계적으로 사용되지 않으며 로컬 서브넷의 올바른 호스트로 프레임을 보내는 데 사용됩니다. 로컬 서브넷이 상대적으로 작고 가능한 MAC 주소 수가 매우 많으므로 계층 2 수준에서 사용 가능한 MAC 주소가 "부족"하지 않습니다. (NIC의 MAC 주소를 임의의 값으로 수동으로 재구성하는 옵션은이를 변경하지 않습니다)
  • 전달할 때 데이터 그램 주소를 다시 작성하면 확실한 보안 이점을 얻을 수 있습니다. MAC 주소는 로컬 서브넷 내에서만 사용되므로 일반적으로 해당 서브넷에 대한 보안 관점 (물리적 및 관련 장치)는 계층 3의 경우와 비교할 때 전체 인터넷입니다 (실제로 연결된 사용자 및 네트워크 엔지니어로서 보안 제어가 없음).

이것이 스위치가 MAC 주소를 다시 쓰지 않는 이유를 밝히기를 희망합니다. 내가 머리 꼭대기에서 내린 유일한 레이어 3 사례는 NAT 였고, 다른 사람들은 확실히 IP 다시 쓰기가 필요한 다른 레이어 3 사례의 예를 제공 할 수 있습니다. .


3
Spot-on, 그러나 나는 당신의 대답에 작은 작은 퀴즈가 있습니다. MAC NAT는 보지 못했지만 맥 레벨 터널링은 보았습니다. 경우에 따라 다른 mac-address 내에서 "tunnel"mac 주소로 전환하는 것이 좋습니다. 즉시 생각 나는 상황은 IEEE 802.1ah 공급자 기반 브리징 (PBB) 입니다. 일반적으로이는 / 사용할 수 VLAN을 확장 서비스 제공 업체 메트로 링에 맥 학습을 줄이기 위해 사용됩니다
마이크 페닝 턴

1
@IllvilJa : 잘 말했다 ..! 지난 몇 주 동안 나를 혼란스럽게 만드는 의심을 해결했습니다. 몇 주 전, 나는 다음과 같이 생각했다. "라우터는 WAN을 처리 할 때 발신자의 MAC 주소 (각 패킷에 대한) 대신 MAC 주소를 넣고 패킷을 수신자에게 전달하는 경향이있다. LAN, 라우터는 발신자의 MAC 주소 대신 각 MAC 주소를 전송하지 않고 발신자와 수신자 사이에 패킷을 전달합니다. "그러나 설명 후에 '라우터'와 ' 스위치 '. 다시 감사합니다 ..!
Maharan

0

MAC 주소를 다시 쓰면 상당히 복잡해지며 (스위치는 arp와 같은 상위 레벨 프로토콜에 대해 알아야하므로 주소 해결을 다시 쓸 수 있음) 문제 해결을 어렵게하고 STP와 같은 프로토콜이 작동하지 못하게하며 일반적으로 PITA가됩니다. 일반적으로 필요하지 않습니다.

불가능하다는 것은 아닙니다. ebtables (iptables에 대응하는 레이어 2)에는 MAC 주소 변환 옵션이 있습니다. 이는 VLAN 당 MAC 테이블을 사용하지 않는 스위치가 있고 일부 레이어 2 필터링을 수행하려는 경우에 유용 할 수 있습니다.

http://ebtables.netfilter.org/examples/example1.html

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.