Top Ad unit 728 × 90

Dê uma olhada

random

Entrada estática de endereços na tabela MAC dos switches

Por padrão, um switch aprende automaticamente os endereços MAC e preenche sua tabela (tabela CAM) com o endereço MAC de origem dos frames recebidos e também dos frames inundados (via processo de flooding), caso não saiba para onde encaminhar o frame. Veja mais aqui.

Esse processo é vulnerável a ataques de falsificação (spoofing) de endereços MAC, nos quais um invasor falsifica o endereço MAC para alterar as entradas na tabela do switch. Um método muito simples para lidar com esse problema é configurar manualmente as entradas na tabela de endereços MAC, visto que uma entrada estática sempre substituirá uma entrada dinâmica. É possível especificar a interface em que o endereço MAC está localizado ou instruir o switch a descartar o tráfego.

Vamos dar uma olhada em um exemplo.


Precisamos apenas de dois dispositivos: um roteador para gerar algum tráfego e um switch para examinar (e configurar) a tabela de endereços MAC. Vamos às configurações:

R1(config)#interface FastEthernet0/0
R1(config-if)#ip address 192.168.0.1 255.255.255.0
R1(config-if)#no shutdown
SW1(config)#interface vlan 1
SW1(config-if)#ip address 192.168.0.2 255.255.255.0
SW1(config-if)#no shutdown

Podemos executar um ping para gerar tráfego, de modo que SW1 possa aprender o endereço MAC da interface FastEthernet0/0 de R1:

R1#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Vamos dar uma olhada na tabela de endereços MAC:

SW1#show mac address-table dynamic vlan 1
          Mac Address Table
-------------------------------------------

Vlan    Mac Address       Type        Ports
----    -----------       --------    -----
   1    aabb.cc00.5a00    DYNAMIC     Fa0/1
Total Mac Addresses for this criterion: 1

O endereço de R1 foi aprendido dinamicamente. Vamos transformar isso em uma entrada estática.

SW1(config)#mac address-table static aabb.cc00.5a00 vlan 1 interface FastEthernet0/1

Usamos o comando mac address-table static para criar uma entrada estática. Vamos verificar como está a tabela de endereços MAC agora:

SW1#show mac address-table static | include Fa0/1
   1    aabb.cc00.5a00    STATIC      Fa0/1

Pronto, agora temos uma entrada estática. Não há como anulá-la, a menos que você tenha acesso ao switch. Isso nos impede de mover R1 para outra interface de SW1, a não ser que alteremos a entrada estática.

Como eu mencionei anteriormente, podemos também alterar uma entrada estática para que ela descarte todo o tráfego. Vamos fazer isso:

SW1(config)#mac address-table static aabb.cc00.5a00 vlan 1 drop

A partir de agora, todos os frames destinados ao endereço MAC de R1 serão descartados:

R1#ping 192.168.0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

Devido à entrada de drop estática, os pings estão falhando.

Aqui estão os comandos de configuração usados neste texto, caso você queira testar as atividades em laboratório. Tenha em mente que, dependendo da versão de IOS que você esteja usando, alguns comandos podem não estar disponíveis. Além disso, o simulador Packet Tracer, da Cisco, limita os comandos que podem ser inseridos na CLI dos dispositivos.
hostname R1
!
ip cef
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 no shutdown
!
end
hostname SW1
!
interface vlan 1
 ip address 192.168.0.2 255.255.255.0
 no shutdown
!
mac address-table static aabb.cc00.5a00 vlan 1 drop
!
end

Hope this helps!

Entrada estática de endereços na tabela MAC dos switches Reviewed by Carlos Wolkartt on dezembro 25, 2018 Rating: 5
Todos os direitos reservados a Wolkartt.com © 2019
Hospedado no Blogger.

Mande sua mensagem

Nome

E-mail *

Mensagem *

Tecnologia do Blogger.