Содержание

Описание

Команда используется для статического сопоставления IP-адресов с MAC-адресами в сети Ethernet. Данная функция может быть полезна при подключении к своей сети группы абонентов (например, отдельных пользователей в блоке квартир) через один общий модуль доступа, так как помогает предотвратить подмену абонентами собственного IP-адреса на соседний, с целью обмануть систему учёта провайдера. Применение команды "macf" не гарантирует абсолютную защиту, однако, для обычного пользователя намного сложнее изменить MAC-адрес, в отличие от IP-адреса.

Синтаксис:

macf IFNAME {MAC|"any"} {IP|"any"} "Comment"
macf IFNAME del N
macf IFNAME {[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet}
macf show | clear

Параметры

ПараметрОписание

IFNAME

Аргумент, определяющий идентификатор интерфейса, для которого в таблицу соответствия будет добавлена или удалена запись.

{MAC|"any"} {IP|"any"} "Comment"


Добавляет запись в таблицу соответствия.

  • "MAC" – MAC-адрес устройства.
  • "IP" – IP-адрес, назначенный устройству.
  • "any" – любой MAC или IP-адрес.
  • "Comment" – произвольный комментарий для удобства идентификации.

В таблицу не может быть добавлено две записи с одинаковыми MAC-адресами.

del N

Удаление записи с номером "N" из таблицы соответствия. Номер записи можно узнать с помощью параметра "show".

{[-]dhcp [-]strict | [-]reverse | [-]simple | [-]quiet}

Позволяет настроить режим фильтрации пакетов. "[-]" приставка отменяющая действие параметра. Алгоритм работы фильтра включает в себя 2 этапа:

  1. Фильтр выполняет поиск MAC-адреса в таблице.
  2. Если таковой обнаружен, выполняется проверка соответствия IP-адресов.
  • "strict" – включает строгий режим работы фильтра. В данном режиме сетевые пакеты от узлов, не описанных в таблице соответствия, будут отбрасываться. Если режим выключен, все станции, не описанные в таблице соответствия, будут обслуживаться без каких-либо ограничений. По умолчанию режим "strict" выключен.

Если вы конфигурируете маршрутизатор удалённо (через telnet), включая режим "strict", убедитесь, что ваша рабочая станция уже внесена в таблицу соответствия. Иначе вы потеряете контроль над маршрутизатором, и отменить этот режим можно будет только через диагностический порт.

  • "reverse" – изменяет порядок обработки на обратный: сначала выполняется поиск IP-адреса, затем сравниваются MAC-адреса.
  • "simple" – алгоритм проходит только первый этап. Если поиск был успешным, то пакет будет принят. В противном случае пакет будет отброшен, независимо от установленного параметра "strict".
  • "dhcp" – активирует автоматическое наполнение таблицы соответствия IP-адресами, которые будут получены от локального сервера DHCP. Эти записи не сохраняются в постоянной конфигурации и остаются актуальными только до тех пор, пока выданный адрес не будет удален сервером DHCP.
  • "quiet" отключает запись сообщений в системный журнал. Если сетевой пакет отбрасывается фильтром, этот факт регистрируется в системном журнале. Чтобы снизить количество регистрационных пакетов, регистрируется только первая попытка нарушения из группы однотипных.

Если между абонентским терминалом и локальной сетью стоит промежуточный маршрутизатор, можно использовать вариант "reverse strict" или "reverse simple", перечислив все допустимые IP-адреса рабочих станций, а в качестве MAC-адреса установить адрес промежуточного маршрутизатора.

В случае, когда к абонентскому терминалу подключено несколько локальных сетей, отделённых промежуточными маршрутизаторами, применим вариант "simple" или "reverse strict" c перечислением MAC-адресов маршрутизаторов.

Во многих случаях более удобным способом для решения этой задачи может быть использование команды "arp".


show

Выводит текущую таблицу соответствия.

clearПроизводит удаление всех записей из таблицы.

Примеры

Добавим в таблицу соответствия две записи: MAC-адресам "102030405060" и "203040506070" соответствуют IP-адреса "1.1.1.1" и "2.2.2.2". Для удобства добавлены комментарии, указывающие на принадлежность IP-адресов.

macf 102030405060  1.1.1.1  Room123
macf 203040506070  2.2.2.2  Room125

Выведем текущую таблицу соответствий.

macf show
macf 1 0020af915099 192.78.64.99  Server 
macf 2 0020af9150a3 192.78.64.194 Room94 
macf 3 0020af9150a4 192.78.64.134 Room57 
macf 4 0020af9150a7 192.78.64.174 Admin

Все рабочие станции локальной сети подключены непосредственно к интерфейсу "eth0" абонентского терминала. В этом случае можно использовать самый простой классический вариант фильтра, усиленный параметром "strict".

macf eth0 strict