如何使用以太网交换机连接MAC地址

　　以太网交换机厂商根据市场需求，推出了三层甚至四层交换机，但无论如何，其核心功能仍是二层的以太网数据包交换，这样将大大提高交换机的处理速率。

　　交换机是一种基于MAC地址识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和 目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

　　1.交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。

　　2.交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。

　　3.如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪（flood）。

　　4.广播帧和组播帧向所有的端口转发。

　　以太网交换机了解每一端口相连设备的MAC地址，并将地址同相应的端口映射起来存放在交换机缓存中的MAC地址表中。  转发/过滤：当一个数据帧的目的地址在MAC地址表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。

　　消除回路：当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。

　　1.交换机的每一个端口所连接的网段都是一个独立的冲突域。

　　2.交换机所连接的设备仍然在同一个广播域内，也就是说，交换机不隔绝广播（惟一的例外是在配有VLAN的环境中）。

　　3.交换机依据帧头的信息进行转发，因此说交换机是工作在数据链路层的网络设备（此处所述交换机仅指传统的二层交换设备）。

　　交换机的工作原理是，当一个端口收到一个数据帧时，首先检查改数据帧的目的MAC地址在MAC地址表(CAM)对应的端口，如果目的端口与源端口不为同一个端口，则把帧从目的端口转发出去，同时更新MAC地址表中源端口与源MAC的对应关系；如果目的端口与源端口相同，则丢弃该帧。

　　有如下的工作场景：

　　一个4口的switch,端口分别为Port.A、Port.B、Port.C、Port.D对应主机 A,B,C，D，其中D为网关。当主机A向B发送数据时，A主机按照OSI往下封装数据帧，过程中，会根据IP地址查找到B主机的MAC地址，填充到数据帧中的目的MAC地址。

　　发送之前网 卡的MAC层协议控制电路也会先做个判断，如果目的MAC相同于本网卡的MAC，则不会发送，反之网卡将这份数据发送出去。Port.A接收到数据帧，交 换机按照上述的检查过程，在MAC地址表发现B的MAC地址(数据帧目的MAC)所在端口号为Port.B，而数据来源的端口号为Port.A，则交换机 将数据帧从端口Port.B转发出去。B主机就收到这个数据帧了。

　　这个寻址过程也可以概括为IP->MAC->PORT,ARP欺骗是欺骗了IP/MAC的应关系，而MAC欺骗则是欺骗了MAC/PORT的 对应关系。比较早的攻击方法是泛洪交换机的MAC地址，这样确实会使交换机以广播模式工作从而达到嗅探的目的，但是会造成交换机负载过大，网络缓慢和丢包 甚至瘫痪，我们不采用这种方法。

　　工作环境为上述的4口swith，软件以cncert的httphijack 为例，应用为A主机劫持C主机的数据。以下是劫持过程(da为目的MAC,sa为源MAC)这样就表明b.mac 对应的是port.a，在一段时间内，交换机会把发往b.mac 的数据帧全部发到a主机。这个时间一直持续到b主机发送一个数据包，或者另外一个da=网关.mac、sa=b.mac的数据包产生前。

　　由于这种攻击方法具有时间分段特性，所以对方的流量越大，劫持频率也越低，网络越稳定。隐蔽性强，基于1的特殊性和工作本质，可以在ARP防火墙和双向绑定的环境中工作。

　　高级的以太网交换机可以采用ip+mac+port 绑定，控制CAM表的自动学习。目前尚无软件可以防护此类攻击

　　-