2.3 Bảng Mac address trên switch

Bình thường switch có thể tự động học mac-address từ các host và đưa chúng vào chung 1 bảng MAC-Address (có tên gọi khác là bảng CAM). Bảng này phục vụ cho việc chuyển tiếp gói tin nhanh hơn. Khi 1 gói tin đến sẽ có địa chỉ mac đích gắn kèm trong gói tin. Switch chỉ việc truy cập vào bảng, kiểm tra xem Mac-address này đang kết nối với interface nào rồi đẩy thẳng gói tin ra đó, không cần đẩy gói tin broadcast hỏi thông tin 1 lần nữa.

Quá trình này dễ bị tấn công ở layer2, bởi 1 kẻ tấn công sẽ giả mạo 1 mac-address nhất định trong mạng nhằm thay đổi thông tin trong bảng Mac-address. Lúc này chúng ta cần có biện pháp đối phó là chúng ta sẽ tự điều chỉnh và cài đặt các thông tin trong bảng CAM của switch, tránh trường hợp bị ghi đè. Chúng ta có 1 ví dụ dưới đây:

Bạn có thể nhìn thấy ví dụ trên chúng ta chỉ có 2 thiết bị. 1 router R1 và 1 switch SW1. Router sẽ tạo vào gửi 1 vài traffic tới SW1. Chúng ta sẽ theo dõi bảng CAM của switch.

R1(config)#interface fastEthernet 0/0

R1(config-if)#no shutdown

R1(config-if)#ip address 192.168.12.1 255.255.255.0

SW1(config)#interface vlan 1

SW1(config-if)#no shutdown

SW1(config-if)#ip address 192.168.12.2 255.255.255.0

OK. SW1 và R1 đã có interface. Giờ chúng ta sẽ ping để tạo traffic giữa switch vào router.

R1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

.!!!!

Success rate is 80 percent (4/5), round-trip min/avg/max = 1/2/4 ms

Oa ping đã ok. Giờ hãy kiểm tra bảng CAM của switch.

SW1#show mac address-table dynamic vlan 1

Mac Address Table

-------------------------------------------

Vlan Mac Address Type Ports

---- ----------- -------- -----

1 001d.a18b.36d0 DYNAMIC Fa0/1

Total Mac Addresses for this criterion: 1

Và đây bạn thấy switch đã học được mac-address của R1 bằng cách học tự động (DYNAMIC). Bây giờ chúng ta hãy gán tĩnh mac-address này vào cổng fa0/1 của sw1.

SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 interface

fastEthernet 0/1

Và bây giờ chúng ta kiểm tra bảng CAM của switch lại 1 lần nữa.

SW1#show mac address-table static | include Fa0/1

1 001d.a18b.36d0 STATIC Fa0/1

OK. Bạn có thể nhìn thấy là giá trị đã chuyển từ DYNAMIC sang STATIC. Bây giờ sẽ không có cách nào để ghi đè được mac-address này trong interface fa0/1. Chúng ta cũng có thể đặt 1 rule chặn toàn bộ traffic trên cổng fa0/1 với mac-address trên.

SW1(config)#mac address-table static 001d.a18b.36d0 vlan 1 drop

Rồi. Giờ toàn bộ frame kết nối giữa switch và router sẽ bị chặn.

R1#ping 192.168.12.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5)

Dưới đây là toàn bộ câu lệnh trong bài viết này:

hostname R1

!

ip cef

!

interface FastEthernet0/0

ip address 192.168.12.1 255.255.255.0

!

end

hostname SW1

!

interface Vlan1

ip address 192.168.12.2 255.255.255.0

!

mac address-table static 001d.a18b.36d0 vlan 1 drop

end

Trân trọng!