On 24.1.2021 9:12, Jozef Drahovsky (FreeBSD cz) wrote:
V Mac tabuľke môže byť vo viacerých riadkoch totožné označenie portu, ale daná MAC adresa len v jednom.
Tohle separatne pro kazdy VLAN. Stejna MAC klidne muze byt na vice
portech - pokud jsou v ruznych VLANech.
Priznam se ale, ze vlastne nevim zda softwarovy switch ve FreeBSD VLANy
podporuje. Pokud ne, pak ruzne VLANy na jednom switchi samozrejme
komplikovat nemohou ;-)
Ak sa stane, že na ten istý switch, ale do iného portu pripojíš
zariadenie s rovnakou MAC adresou (čo by nemalo nastať, lebo každé
zariadenie má mať od výrobcu inu MAC adresu, ale HW chyby existujú), tak
v lepšom prípade nastane nestabilná funkčnosť danej dvojice zariadení.
Tak jednoduche to neni.
a) V sitich s redundandni topologii ti pakety mohou zacit chodit z
jineho smeru po zmene topologie site.
b) v dobe cloudu a virtualizace je klidne mozne, ze z nejakeho dovudu
(vyvazovani zateze, zavada virtualizatoru, ...) dojde k prestehovani
beziciho virtualniho stroje z jednoho boxu na jiny - a pakety take
zacnou najednou prichazet z jineho smeru
Takze situace, kdy je MAC adresa naucena na jednom portu - a najednou
paket s totoznou zdrojovou MAC adresou prileti z jineho portu uz dneska
neni az takovym priznakem "cehosi shnileho" jako tomu byvalo.
"Spravne" zakladni chovani switche je pomerne jednoduche a dobre
definovane. V podstate se od nej nejde odchylit aniz by slo o vaznou
chybu v implementaci.
1) Zdrojova MAC (jen pokud je unicastova) pridhoziho pakety se do
tabulky poznamena k portu, ze ktereho prisla (pripadne se "jen" vynuluje
timeoutovy citac, pokud tam uz byla).
2) Podle cilove adresy (jen pokud je unicastova) se v tabulce najde od
jakeho ma odejit portu a tam se posle. Pokud MAC zaznam v tabulce nema,
posle se do vsech portu. Vyjimnka - ani v jednom pripade s epaket
neodesle do portu, ze ktereho prisel.
3) z tabulky se periodicky odstranuji zaznamy, jejichz timeout vyprsel
Ak je zapnutý STP protokol (v závislosti od dokonalosti jeho verzie) tak on na základe tohto stavu zhodí jeden z
portov, lebo si oprávnene myslí
To popisujes jak je to na FreeBSD aktualne naimplementovane ? To ja
nastudovane nemam, ale jestli je to takhle, tak to neni moc stastna
implementace. Pro nektere realne site primo nepouzitelna.
Kdy, na co a jak zareagovat by mohlo byt tematem rozsahle diskuse,
protoze je nutne balancovat ochranu proti (neumyslnym) chybam zapojeni
site, soucasne ale nechces vytvorit prostredi, ktere snadno rozkopne
umyslny utocnik.
Áno, riešením je viesť si vlastnú inventarizačnú tabuľku MAC adries svojich
zariadení.
Ty fakt mas v dnesni dobe nejaka takova, ktera vubec nepouzivaji IP a
tedy se v ARP neobjevuji ?
To je samo o sobe neobvykly ...
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
