MAC address table

MAC 주소 테이블은 목적지 MAC 주소와 포트번호가 기록된 데이터베이스

스위치는 MAC 주소 테이블을 참조하여 수신 프레임을 전송

**프레임을 복사하여 전달

CAM(Content Address Memory) 테이블

스위치의 맥 주소 테이블 확인이 가능 커맨드

#show mac-address-table

 

트랜스 패런트 브리징 절차

1. 스위치가 인터페이스(port)를 통하여 이더넷 프레임을 수신
2. 이더넷 프레임의 출발지 MAC 주소를 읽는다.
   1. MAC 주소 테이블에 해당 출발지 MAC 주소가 없으면 수신 포트 번호와 출발지 MAC 주소를 기록함 ⇒ Learning / 러닝
   2. MAC 주소 테이블에 해당 주소가 있으면 에이징 타이머를 초기화 함 (기본적으로 5분이 경과하면 테이블에서 제거) ⇒ aging / 에이징
3. 이더넷 프레임의 목적지 MAC 주소 읽는다.
   1. 목적지 MAC 주소가 브로드캐스트, 테이블에 없는 유니캐스트 또는 멀티캐스트이면 수신 포트를 제외하고 동일한 VLAN, 네트워크 영역에서 속하는 모든 포트로 다 전송함 ⇒ Flooding
   2. MAC 주소 테이블 상 목적지 MAC 주소와 연결되는 포트가 수신 포트와 동일하다면, 해당 프레임을 차단 ⇒ Filtering /필터링
   3. 목적지 주소가 MAC 주소 테이블에 존재하고, 목적지 MAC 주소로 가는 포트가 프레임의 수신 포트와 동일하지 않는 유니캐스트 프레임을 수신하면 목적지 포트로 프레임을 전송 ⇒ Forwading / 포워딩

라우터나 스위치에서 정적인 MAC 주소 테이블 설정

스위치는 모델별로 저장할 수 있는 MAC 주소 테이블 수량이 제한되어 있음

MAC 주소 테이블이 가득찰 경우 새로 알게 된 MAC 주소가 덮어 씌울 수 있음

또는 새로 알게된 MAC 주소에 대해서는 허브(Hub) 처럼 동작하게 됨

문제점 : 해당 MAC 주소를 목적으로 하는 프레임을 모든 포트로 Flooding을 시킴

MAC 주소 테이블이 가득 차게 되어도 가장 오래된 주소를 삭제하지는 않음

⇒ 일반적으로 MAC 주소 테이블이 가득 차는 경우가 발생하면 네트워크 설계에 문제가 있다라고 판단

⇒ 라우터나 L3 스위치를 사용하여 네트워크 분리를 해야 한다. ⇒ VLAN

→ 가장 오래된 주소 삭제하면? ⇒ 네트워크에 더 많은 부하가 걸릴 수 있음

정적으로 설정한 MAC 주소는 항상 MAC 테이블 존재

⇒ ARP 관련하여 보안 조지한다라고 하면?

1. 주기적인 모니터링
2. MAC 주소를 정적으로 설정
3. +스위치에 MAC 테이블이 가득차지 않도록 초기 설계 고려

설정

1. MAC 주소 고정 명령어

#conf t

#mac address-table static 0000.0000.0002 vlan 3 int f1/1

1. MAC 주소 에이징 타임 설정 명령어

#conf t

#mac address-table aging-time 0 clan 1

동적인 MAC 주소들은 기본적으로 300초(5분) 동안 프레임을 하나라도 전송하지 않으면 Aging에 의해 MAC 주소 테이블이 제거됨 따라서 MAC 주소 에이징 타이머를 위의 명령어를 활용 조정이 가능하며, 10 ~ 1000000 초 사이의 값을 부여할 수 있음

---

P 멀티캐스트 주소와 MAC 주소 매핑

멀티캐스트 주소는 특정한 그룹의 장비들에만 해당 패킷을 전송할 때 사용됨

OSPF나 EIGRP 같은 라우팅 프로토콜이 라우팅 정보를 송신할 때 사용

만약, IP 멀티캐스트 주소가 224.0.0.1이라고 한다면

MAC 주소는 0100-5e00-0001로 매핑된다.

*** 기본적으로 스위치들은 멀티캐스트 프레임을 플러딩한다.

⇒ IGMP와 같은 프로토콜을 이용할 수도 있고

정적인 멀티캐스트 주소 설정을 통해 멀티캐스트 프레임을 필요한 포트로만 전송하기도 함

동일 네트워크에서 ARP 동작

• 패킷의 목적이 IP 주소가 유니캐스트일 때는 ARP라는 프로토콜을 이용하여 넥스트 홉 IP 주소와 MAC 주소를 매핑

*** 수신 포트를 제외한 모든 포트로 플러딩을 한다.

⇒ 초기 스위치 테이블 / 러닝

*** 자신의 MAC 주소를 ARP 브로드캐스트를 수신한 당사자 장비는 수신한 상대에서 응답 프레임을 전송

---

1. s/w 동작 방식 ⇒ 트랜스패런트 브리징
2. MAC 주소에 대한 특징 + ARO 프로토콜 + IP
3. 이에 따른 공격 기법? ARP 스푸핑
4. 정보수집(내부 네트워크 침입시) ARP스캐닝 → ping/scaning →자료정리 → 버전정보

---

기본적으로 스위치를 동작 / 유지하는 프로토콜

• STP : Spanning Tree Protocol
• 스위치 기술 : IEEE 802.1
• STP 프로토콜 : IEEE 802.1d
• R(rapid)STP : IEEE 802.1w
• Pvst+ : per vlan spanning Tree ⇒ 요즘장비 사용