На примере на примере модели DGS-1250-28X/RU
Одной из ключевых функций, которой часто пренебрегают администраторы, является управление таблицей MAC-адресов. В этой статье мы разберем, зачем это нужно, какие риски это закрывает и как настроить статические записи и ограничения на примере DGS-1250-28X/RU.
Что такое таблица MAC-адресов и как она работает?
Если кратко: коммутатор — это устройство 2-го уровня (L2). Чтобы переслать пакет данных от одного устройства к другому, он должен знать, в какой порт «воткнут» получатель.
- Динамическое обучение (по умолчанию): Когда устройство отправляет пакет, коммутатор запоминает его MAC-адрес и номер порта. Эта запись хранится в таблице определенное время (Aging Time, по умолчанию 300 секунд).
- Статическая запись: Администратор вручную прописывает: «MAC-адрес AA:BB:CC:11:22:33 всегда находится на порту 1». Эта запись не исчезает со временем и имеет приоритет.
Зачем управлять MAC-таблицей? 4 главных сценария
Многие оставляют настройки по умолчанию, но в реальной эксплуатации возникают ситуации, требующие вмешательства.
1. Безопасность и контроль доступа
Это самая частая причина. Представьте, что в коридоре стоит розетка, в которую кто угодно может подключить свой ноутбук и получить доступ к внутренней сети.
Решение: Вы можете настроить Static MAC. Только устройство с конкретным MAC-адресом сможет работать на этом порту. Все остальные будут заблокированы.
Альтернатива: Ограничить количество MAC-адресов на порту (например, не более 1 или 2). Это защитит от подключения несанкционированных мини-коммутаторов («свитчей за спиной»).
2. Защита от MAC-флудинга (Атаки на коммутатор)
Злоумышленник может генерировать тысячи пакетов с разными поддельными MAC-адресами. Таблица коммутатора переполнится, и он перейдет в режим «хаба», рассылая трафик на все порты (что позволяет перехватывать данные).
Решение: Ограничение количества динамических записей на порт и использование статических записей для критически важных серверов.
3. Стабильность критических соединений
Для серверов, принтеров, систем видеонаблюдения или VoIP-шлюзов желательно, чтобы коммутатор «не забывал» их местоположение.
Решение: Статическая привязка гарантирует, что даже при сбоях или высокой нагрузке трафик к важному устройству будет доставлен корректно и без задержек на повторное обучение.
4. Диагностика и поиск устройств
Иногда нужно найти, куда физически подключено устройство с известным IP или MAC-адресом (например, кто-то занял чужой IP или в сети «шумит» неисправное устройство).
Решение: Просмотр таблицы MAC-адресов позволяет увидеть номер порта, к которому привязан адрес, и быстро найти физическое место подключения.
Настройка через командную строку (CLI)
Просмотр таблицы МАС-адресов
Для этого используется команда show mac-address-table, смотрите рисунок ниже:
Добавление статической записи
Для этого используется команда mac-address-table static:
DGS-1250-28X(config)# mac-address-table static b0:9c:63:7f:f0:86 vlan 1 interface ethernet 1/0/15
Для того чтобы удалить все статические записи МАС-адресов используется команда no mac-address-table static all
Либо можно указать конкретный адрес,который нужно удалить.
Удаление динамических записей
Для этого используется команда clear mac-address-table
Просто создать статический MAC-адрес бывает неудобно, если устройств много. В коммутаторах D-Link есть функция Port Security (Безопасность порта), которая тесно связана с управлением MAC-таблицей.
Она позволяет ограничить количество изучаемых адресов на порту: разрешить коммутатору выучить на порту не более N адресов (например, 1 для ПК, 2 для ПК + IP-телефон).
Это более гибкий инструмент, чем ручное прописывание статических адресов для каждого рабочего места.
Рассмотрим настройку в функции Port Security на коммутаторах с новым ПО в будущих статьях.