Ako zobrazit MAC tabulku vo FreeBSD

Dan Lukes dan at obluda.cz
Sun Jan 24 20:10:47 CET 2021

Previous message (by thread): Ako zobrazit MAC tabulku vo FreeBSD
Next message (by thread): Ako zobrazit MAC tabulku vo FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 24.1.2021 9:12, Jozef Drahovsky (FreeBSD cz) wrote:
> V Mac tabuľke môže byť vo viacerých riadkoch totožné označenie portu, ale daná MAC adresa len v jednom. 

Tohle separatne pro kazdy VLAN. Stejna MAC klidne muze byt na vice 
portech - pokud jsou v ruznych VLANech.

Priznam se ale, ze vlastne nevim zda softwarovy switch ve FreeBSD VLANy 
podporuje. Pokud ne, pak ruzne VLANy na jednom switchi samozrejme 
komplikovat nemohou ;-)

> Ak sa stane, že na ten istý switch, ale do iného portu pripojíš 
> zariadenie s rovnakou MAC adresou (čo by nemalo nastať, lebo každé 
> zariadenie má mať od výrobcu inu MAC adresu, ale HW chyby existujú), tak 
> v lepšom prípade nastane nestabilná funkčnosť danej dvojice zariadení.

Tak jednoduche to neni.

a) V sitich s redundandni topologii ti pakety mohou zacit chodit z 
jineho smeru po zmene topologie site.
b) v dobe cloudu a virtualizace je klidne mozne, ze z nejakeho dovudu 
(vyvazovani zateze, zavada virtualizatoru, ...) dojde k prestehovani 
beziciho virtualniho stroje z jednoho boxu na jiny - a pakety take 
zacnou najednou prichazet z jineho smeru

Takze situace, kdy je MAC adresa naucena na jednom portu - a najednou 
paket s totoznou zdrojovou MAC adresou prileti z jineho portu uz dneska 
neni az takovym priznakem "cehosi shnileho" jako tomu byvalo.

"Spravne" zakladni chovani switche je pomerne jednoduche a dobre 
definovane. V podstate se od nej nejde odchylit aniz by slo o vaznou 
chybu v implementaci.

1) Zdrojova MAC (jen pokud je unicastova) pridhoziho pakety se do 
tabulky poznamena k portu, ze ktereho prisla (pripadne se "jen" vynuluje 
  timeoutovy citac, pokud tam uz byla).

2) Podle cilove adresy (jen pokud je unicastova) se v tabulce najde od 
jakeho ma odejit portu a tam se posle. Pokud MAC zaznam v tabulce nema, 
posle se do vsech portu. Vyjimnka - ani v jednom pripade s epaket 
neodesle do portu, ze ktereho prisel.

3) z tabulky se periodicky odstranuji zaznamy, jejichz timeout vyprsel

> Ak je zapnutý STP protokol (v závislosti od dokonalosti jeho verzie) tak on na základe tohto stavu zhodí jeden z 
> portov, lebo si oprávnene myslí

To popisujes jak je to na FreeBSD aktualne naimplementovane ? To ja 
nastudovane nemam, ale jestli je to takhle, tak to neni moc stastna 
implementace. Pro nektere realne site primo nepouzitelna.

Kdy, na co a jak zareagovat by mohlo byt tematem rozsahle diskuse, 
protoze je nutne balancovat ochranu proti (neumyslnym) chybam zapojeni 
site, soucasne ale nechces vytvorit prostredi, ktere snadno rozkopne 
umyslny utocnik.

> Áno, riešením je viesť si vlastnú inventarizačnú tabuľku MAC adries  svojich zariadení.

Ty fakt mas v dnesni dobe nejaka takova, ktera vubec nepouzivaji IP a 
tedy se v ARP neobjevuji ?

To je samo o sobe neobvykly ...

Dan

Previous message (by thread): Ako zobrazit MAC tabulku vo FreeBSD
Next message (by thread): Ako zobrazit MAC tabulku vo FreeBSD
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list