Tại sao không chuyển đổi viết lại địa chỉ mac?

Có bất kỳ lý do cụ thể tại sao các bộ chuyển mạch Ethernet không thay đổi địa chỉ MAC của gói không?

Là nó để nhận dạng máy chủ cuối sử dụng địa chỉ MAC, hoặc bất cứ điều gì khác?

Nếu một công tắc thay đổi địa chỉ MAC, điều này sẽ phá vỡ hoàn toàn mạng.

Địa chỉ MAC là một mã định danh duy nhất được sử dụng bởi các máy chủ trên mạng cục bộ.

Nếu công tắc thay đổi MAC đích, khung sẽ không được gửi đến máy chủ thích hợp. Trong các trường hợp, ví dụ, nếu khung bị ngập, máy chủ đích sẽ thả nó xuống vì nó sẽ không còn được dành cho máy chủ nữa.

Nếu công tắc thay đổi địa chỉ MAC nguồn, máy chủ đích sẽ sử dụng địa chỉ MAC này cho mọi phản hồi (bao gồm cập nhật mọi mục nhập ARP có dữ liệu xấu). Điều này sẽ dẫn đến tình huống tương tự như tôi đã mô tả, chỉ cho tất cả lưu lượng truy cập trở lại.

Điều này có thể tiếp tục tạo ra các vấn đề với những thứ như 802.1X và các cơ chế khác sử dụng địa chỉ MAC để xác định / phân loại thiết bị.

Cơ chế có thể được phát triển để làm điều này? Tôi chắc chắn họ có thể. Nhưng không có lý do để làm như vậy tại thời điểm này và điều này sẽ chỉ làm phức tạp mạng và thêm xử lý không cần thiết. Chúng tôi gần như không làm cạn kiệt nhóm địa chỉ MAC có sẵn nên không cần một cái gì đó như MAT (không biết liệu khái niệm dịch địa chỉ MAC có tồn tại ở bất cứ đâu không vì vậy có lẽ tôi chỉ đặt ra một thuật ngữ?).

Viết lại địa chỉ của datagram xảy ra ở lớp 3, ví dụ như khi các cổng (bộ định tuyến hoặc tường lửa) chạy NAT ghi lại địa chỉ IP của máy chủ trên mạng bên trong để tất cả chúng xuất hiện từ một (hoặc một vài) địa chỉ IP bên ngoài trên chính cổng.

Lý do cho một cái gì đó tương tự không xảy ra ở cấp độ 2 (trong đó chúng tôi sử dụng địa chỉ MAC để phân biệt máy chủ và bộ chuyển mạch thực hiện chuyển động của datagram, đó là các khung) như đã nói trong các nhận xét ở trên rằng thực sự không cần nó.

Trong trường hợp lớp ba với NAT, NAT giải quyết một số vấn đề:

• Địa chỉ IP được sử dụng để liên lạc toàn cầu và có một số lượng hạn chế các địa chỉ IP có sẵn phải được chia sẻ. Bằng cách sử dụng NAT, người ta đảm bảo rằng số lượng lớn hơn các máy chủ nội bộ có thể chia sẻ ít hơn (thường chỉ là một) địa chỉ IP hiển thị trên internet công cộng.
• Việc viết lại địa chỉ IP được một số người xem xét nhưng không phải ai cũng thêm một lớp bảo mật bằng cách giả mạo địa chỉ IP của các máy bên trong.

Vì vậy, nếu chúng ta gắn bó với ví dụ NAT, thực sự không cần phải có lớp đối tác hai lớp của NAT.

• Địa chỉ MAC không được sử dụng trên toàn cầu để đánh địa chỉ các datagram trên internet, chúng được sử dụng để gửi các khung đến đúng máy chủ trên mạng con cục bộ. Vì các mạng con cục bộ tương đối nhỏ và số lượng địa chỉ MAC có thể rất lớn, nên một địa chỉ MAC không "hết" ở cấp độ 2 của lớp. (Tùy chọn cấu hình lại thủ công các địa chỉ MAC của các NIC thành một giá trị tùy ý không thay đổi điều này)
• Và vì lợi ích bảo mật gây tranh cãi của việc viết lại địa chỉ datagram khi chuyển tiếp: Vì địa chỉ MAC chỉ được sử dụng trong một mạng con cục bộ, nên người ta thường kiểm soát tốt hơn từ góc độ bảo mật đối với mạng con đó (về mặt vật lý cũng như hầu hết các thiết bị liên quan) so với đối tác trong trường hợp lớp 3, đó là toàn bộ internet (mà chúng tôi với tư cách là người dùng được kết nối và các kỹ sư mạng trong thực tế không có quyền kiểm soát bảo mật).

Hy vọng điều này sẽ làm sáng tỏ lý do tại sao các thiết bị chuyển mạch không viết lại địa chỉ MAC. Trường hợp lớp 3 duy nhất tôi nghĩ ra từ đỉnh đầu là NAT, những trường hợp khác chắc chắn có thể cung cấp ví dụ về các trường hợp lớp 3 khác trong đó việc viết lại IP được bảo hành (và tại sao những công nghệ đó không thực sự có ý nghĩa ở cấp độ 2) .

Viết lại địa chỉ MAC sẽ tăng thêm độ phức tạp đáng kể (công tắc sẽ phải biết về các giao thức cấp cao hơn như arp để nó có thể viết lại độ phân giải địa chỉ), sẽ giúp khắc phục sự cố khó khăn hơn, sẽ ngăn các giao thức như STP hoạt động và thường là PITA. Nó cũng không cần thiết bình thường.

Điều đó không có nghĩa là không thể. ebtables (bản sao lớp 2 của iptables) có một số tùy chọn để dịch địa chỉ MAC. Điều này có thể hữu ích nếu bạn có các công tắc không sử dụng bảng MAC trên mỗi vlan và bạn muốn thực hiện một số bộ lọc lớp 2.

http://ebtables.netfilter.org/examples/example1.html