Ako zobrazit MAC tabulku vo FreeBSD

[Jozef Drahovsky (FreeBSD cz)]

Dňa 24. 1. 2021 o 20:10 Dan Lukes napísal(a):
> On 24.1.2021 9:12, Jozef Drahovsky (FreeBSD cz) wrote:
>> V Mac tabuľke môže byť vo viacerých riadkoch totožné označenie portu, 
>> ale daná MAC adresa len v jednom. 
> 
> 
> Priznam se ale, ze vlastne nevim zda softwarovy switch ve FreeBSD VLANy 
> podporuje. Pokud ne, pak ruzne VLANy na jednom switchi samozrejme 
> komplikovat nemohou ;-)
> 
Áno podporuje. Ak vytvoríš VLANy tak je tvoja MAC v každej VLANe. Takže 
je to riešenie ako použiť dve zariadenia s rovnakými MAC ak sa nedajú 
zmeniť. Len tie VLANy musia byť rútované a nie switchované.


> 
> Takze situace, kdy je MAC adresa naucena na jednom portu - a najednou 
> paket s totoznou zdrojovou MAC adresou prileti z jineho portu uz dneska 
> neni az takovym priznakem "cehosi shnileho" jako tomu byvalo.
> 

Prijať paket problém nerobí. Problém je opačný smer a to otázka do 
ktorého portu poslať paket keď v MAC tabuľke preskakuje číslo portu.
Keď som to snifroval tak pakety išli chvíľu na jeden port, chvíľu na 
druhy. Presne podľa aktuálneho stavu MAC tabuľky, čo je v súlade s 
očakávanou funkciou switchu.

Ty dvaja ľudia, ktorí mali a svojom PC rovnakú MAC adresu nesmeli 
pracovať odrazu. Vlastne tak som na to prvý krát prišiel. Keď bol v 
práci len jeden z nich, bolo všetko ok. Ak boli v práci obaja a chceli 
pracovať odrazu, tak sa im nedalo.




> 
>> Ak je zapnutý STP protokol (v závislosti od dokonalosti jeho verzie) 
>> tak on na základe tohto stavu zhodí jeden z portov, lebo si oprávnene 
>> myslí
> 
> To popisujes jak je to na FreeBSD aktualne naimplementovane ? To ja 
> nastudovane nemam, ale jestli je to takhle, tak to neni moc stastna 
> implementace. Pro nektere realne site primo nepouzitelna.

Nie, na FreeBSD som STP neskúšal.


> 
> Kdy, na co a jak zareagovat by mohlo byt tematem rozsahle diskuse, 
> protoze je nutne balancovat ochranu proti (neumyslnym) chybam zapojeni 
> site, soucasne ale nechces vytvorit prostredi, ktere snadno rozkopne 
> umyslny utocnik.

Napríklad na Cisco switchi si nastavím ľubovolnú ochranu, aj takú, že 
port cudziu MAC zablokuje. Navyše Cisco dáva do logu všetky anomálie a 
ľahko sa hľadajú chyby. Problém sú malé switche, ktoré neposkytnú ani 
MAC tabuľku. (napr. TP-LINK unmanaged) Tam hľadať príčinu problémov je 
veľmi problematické. Preto pri problémoch radšej donesiem vlastný cisco 
switch a prepojím ich káble do neho. Potom nájdenie problémov je pomerne 
rýchle.



> 
>> Áno, riešením je viesť si vlastnú inventarizačnú tabuľku MAC adries  
>> svojich zariadení.
> 
> Ty fakt mas v dnesni dobe nejaka takova, ktera vubec nepouzivaji IP a 
> tedy se v ARP neobjevuji ? 
> To je samo o sobe neobvykly ...
> 
> Dan?

Dnes sa už ipx/spx nepoužíva, všetko beží na IP protokole okrem
niekoľko špecifických zariadení. Mal som čínsku kameru, ktorá sa 
nastavovala programom vo windowse pričom s počítačom musela byt v jednej 
LAN. Zistil som, že komunikácia bežala len na na MAC adresácii žiaden IP 
protokol.

Problem sú malé 5 alebo 8 portové switche po kancelariách a tie IP 
adresu nemajú. Na ASA ich vidím, ale vo FreeBSD nie, teda teraz už ano, 
ak zapnem bridging, ale jednoduchšie je pripojiť sa cez konzolu alebo 
SNMP na hlavný manažovaný switch (ak je).

Najväčší problém okrem zavírených/útočných počítačov spôsobujú wifi 
rútre. 5 portov LAN a WAN v jednom porte. Neviem prečo všetci majú 
záľubu pripojiť kábel zo steny do LAN, čím pustia do siete svoj DHCP 
server, ale to je už o niečo inom i keď zistiť MAC adresu a nájsť ju v 
inventárnej tabuľke s číslom kancelárie, alebo nevidieť chýbajúci MAC, 
vyrieši problém veľmi rýchlo.


Jozef