Описание
Команда предназначена для управления фильтром, работа которого основана на соответствии MAC и IP-адресовиспользуется для статического сопоставления IP-адресов с MAC-адресами в сети Ethernet. Данная функция может быть полезна при подключении к своей сети группы абонентов (например, отдельных пользователей в блоке квартир) через один общий модуль доступа, так как помогает предотвратить подмену абонентами собственного IP-адреса на соседний, с целью обмануть систему учёта провайдера. Применение команды "macf" не гарантирует абсолютную защиту, однако, для обычного пользователя намного сложнее изменить MAC-адрес, в отличие от IP-адреса.
Синтаксис:
| Code Block |
|---|
| language | powershelltext |
|---|
| theme | Emacs |
|---|
|
macf IFNAME {MAC|"any"} {IP|"any"} "Comment"
macf IFNAME del N
macf IFNAME {[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet}
macf show | clear |
Параметры
| Center |
|---|
| Параметр | Описание |
|---|
IFNAME | Сетевой интерфейсАргумент, определяющий идентификатор интерфейса, для которого в таблицу соответствия будет добавлена или удалена запись. | {MAC|"any"} {IP|"any"} "Comment"
| Добавить Добавляет запись в таблицу соответствие MAC-адреса (MAC) и IP-адреса (IP). Аргумент "any" означает соответствия. - "MAC" – MAC-адрес устройства.
- "IP" – IP-адрес, назначенный устройству.
- "any" – любой MAC или IP-адрес.
Для удобства к записи может быть добавлен комментарий (Comment)- "Comment" – произвольный комментарий для удобства идентификации.
| Note |
|---|
| В таблицу не может быть добавлено две записи с одинаковыми MAC-адресами. |
| del N | Удаление записи номер с номером "N" из таблицы соответствия. Номер записи можно получить узнать с помощью команды параметра "macf show". | {[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet} | Параметр "show" выводит Фильтр может работать в двух режимах: Обычный режим - установлен по умолчанию. Все станции, не описанные в таблице соответствия, будут обслуживаться без каких-либо ограничений. Строгий режим (strict) - Позволяет настроить режим фильтрации пакетов. "[-]" – приставка отменяющая действие параметра. Алгоритм работы фильтра включает в себя 2 этапа: - Фильтр выполняет поиск MAC-адреса в таблице.
- Если таковой обнаружен, выполняется проверка соответствия IP-адресов.
- "strict" – включает строгий режим работы фильтра. В данном режиме сетевые пакеты от узлов, не описанных в таблице соответствия, будут отбрасываться. Если режим выключен, все станции, не описанные в таблице соответствия, будут обслуживаться без каких-либо ограничений. По умолчанию режим "strict" выключен.
| Warning |
|---|
| Если вы конфигурируете маршрутизатор удалённо , (через telnet), то, включая режим "strict", убедитесь, что ваша рабочая станция уже внесена в таблицу соответствия. Иначе вы потеряете контроль над маршрутизатором, и отменить этот режим можно будет только через диагностический порт. |
Алгоритм работы фильтра включает в себя 2 этапа: - Фильтр выполняет поиск MAC-адреса в таблице.
- Если таковой обнаружен, то выполняется проверка соответствия IP-адресов.
Действие параметров: Параметр изменяет - – изменяет порядок обработки на обратный: сначала выполняется
поиск IP сравниваются MACПараметр , - – алгоритм проходит только первый этап. Если поиск был успешным, то пакет будет принят. В противном случае пакет будет отброшен, независимо от установленного параметра "strict".
Параметр - "dhcp" – активирует автоматическое наполнение таблицы соответствия IP-адресами, которые будут получены от локального сервера DHCP. Эти записи не сохраняются в постоянной конфигурации и остаются актуальными только до тех пор, пока выданный адрес не будет удален сервером DHCP.
Параметр - "quiet" – отключает запись сообщений в системный журнал. Если сетевой пакет отбрасывается фильтром,
то - этот факт регистрируется в системном журнале
(sys log) предотвратить лавину - снизить количество регистрационных пакетов, регистрируется только первая попытка нарушения из группы однотипных.
| show | clear | Если между абонентским териналом и локальной сетью стоит промежуточный маршрутизатор, можно использовать вариант "reverse strict" или "reverse simple", перечислив все допустимые IP-адреса рабочих станций, а в качестве MAC-адреса установить адрес промежуточного маршрутизатора. В случае, когда к абонентскому терминалу подключено несколько локальных сетей, отделённых промежуточными маршрутизаторами, применим вариант "simple" или "reverse strict" c перечислением MAC-адресов маршрутизаторов. | Note |
|---|
| Во многих случаях более удобным способом для решения этой задачи может быть использование команды "arp". |
| show | Выводит текущую таблицу соответствия. | | Параметр "clear" производит | Производит удаление всех записей из таблицы. |
|
Примеры
Команды добавляют Добавим в таблицу соответствия две записи о том, что : MAC-адресам "102030405060" и "203040506070" соответствуют IP-адреса "1.1.1.1" и "2.2.2.2". Для удобства добавлены комментарии, указывающие на принадлежность IP-адресов. | Code Block |
|---|
| language | powershelltext |
|---|
| theme | Emacs |
|---|
| macf 102030405060 1.1.1.1 Room123
macf 203040506070 2.2.2.2 Room125 |
|
Команда выводит Выведем текущую таблицу соответствий. | Code Block |
|---|
| language | powershelltext |
|---|
| theme | Emacs |
|---|
| macf show
macf 1 0020af915099 192.78.64.99 Server
macf 2 0020af9150a3 192.78.64.194 Room94
macf 3 0020af9150a4 192.78.64.134 Room57
macf 4 0020af9150a7 192.78.64.174 Admin |
|
Все рабочие станции локальной сети подключены непосредственно к интерфейсу ethernet абонентского блока"eth0" абонентского терминала. В этом случае можно использовать самый простой , классический вариант фильтра, возможно усиленный параметром "strict":. | Code Block |
|---|
| language | powershelltext |
|---|
| theme | Emacs |
|---|
| macf IFNAME MAC IP [strict] |
|
Если между абонентским блоком и локальной сетью стоит промежуточный маршрутизатор, то можно использовать вариант "reverse strict" или "reverse simple", перечислив все допустимые IP-адреса рабочих станций, а в качестве MAC-адреса установить адрес промежуточного маршрутизатора. |
Если к абонентскому блоку подключено несколько локальных сетей, отделённых промежуточными маршрутизаторами, то возможно будет полезным вариант "simple" или "reverse strict" c перечислением MAC адресов маршрутизаторов. | Note |
|---|
| Во многих случаях, более удобным способом для решения этой задачи может быть использование команды "arp".eth0 strict |
|