رفتار سوئیچ در زمان پر شدن جدول مک آدرس – روش‌های بررسی MAC Flapping یا حمله Flooding

سوئیچ‌های شبکه نقش حیاتی در انتقال داده‌ها بین دستگاه‌ها در شبکه‌های محلی (LAN) ایفا می‌کنند. این دستگاه‌ها با استفاده از جدول مک آدرس، داده‌ها را به مقصد صحیح هدایت می‌کنند. سوئیچ‌ها اطلاعات مک آدرس دستگاه‌های متصل را در جدول خود ذخیره کرده و از آن برای تعیین پورت مناسب جهت ارسال فریم‌ها استفاده می‌کنند. اما هنگامی که تعداد دستگاه‌های متصل به سوئیچ زیاد می‌شود یا تغییرات زیادی در مک آدرس‌ها رخ می‌دهد، ممکن است سوئیچ با مشکلاتی روبه‌رو شود که بر عملکرد شبکه تأثیر بگذارد.

یکی از مهم‌ترین مشکلات، پر شدن جدول مک آدرس است که منجر به وقوع مشکلاتی مانند MAC Flapping و Flooding می‌شود. این مقاله به بررسی رفتار سوئیچ سیسکو در مواجهه با پر شدن جدول مک آدرس و روش‌های شناسایی و پیشگیری از MAC Flapping و Flooding خواهد پرداخت.

جدول مک آدرس و اهمیت آن در سوئیچ‌ها

جدول MAC آدرس یک پایگاه داده در سوئیچ است که اطلاعات مک آدرس‌های دستگاه‌های متصل به آن را ذخیره می‌کند. این جدول به سوئیچ کمک می‌کند تا فریم‌های دریافتی را به پورت مناسب ارسال کند. هر زمان که فریمی به سوئیچ وارد می‌شود، سوئیچ ابتدا آدرس مقصد فریم را بررسی می‌کند و سپس آن را به پورت مرتبط با آدرس مقصد می‌فرستد. اگر آدرس مقصد در جدول موجود نباشد، سوئیچ فریم را به تمامی پورت‌ها ارسال می‌کند تا دستگاه مقصد بتواند آن را دریافت کند. در نتیجه، عملکرد صحیح جدول مک آدرس در سوئیچ‌ها به عملکرد صحیح شبکه کمک می‌کند.

مشکلات پر شدن جدول مک آدرس

یکی از مشکلات رایجی که در سوئیچ‌ها ممکن است رخ دهد، پر شدن جدول مک آدرس است. این مشکل زمانی به وجود می‌آید که تعداد زیادی دستگاه به سوئیچ متصل می‌شوند یا تغییرات زیادی در مک آدرس‌ها اتفاق می‌افتد. هنگامی که جدول مک آدرس سوئیچ پر می‌شود، سوئیچ نمی‌تواند به‌درستی فریم‌ها را به پورت مقصد ارسال کند و عملکرد شبکه کاهش می‌یابد. دو مشکل عمده‌ای که ممکن است در نتیجه پر شدن جدول مک آدرس رخ دهد، MAC Flapping و Flooding هستند.

1. MAC Flapping

تعریف MAC Flapping:
MAC Flapping زمانی رخ می‌دهد که مک آدرس یک دستگاه در سوئیچ به‌طور مکرر تغییر می‌کند، به‌طوری‌که سوئیچ نمی‌تواند تشخیص دهد که آدرس مقصد در کدام پورت قرار دارد. به عبارت دیگر، یک دستگاه ممکن است به‌طور مکرر به سوئیچ متصل و قطع شود یا مک آدرس آن در پورت‌های مختلف سوئیچ ثبت شود. این مشکل ممکن است ناشی از اتصالات نادرست، مشکلات کابل، یا مشکلات پیکربندی در سوئیچ باشد.

تأثیرات MAC Flapping:
MAC Flapping می‌تواند مشکلات زیادی را در شبکه ایجاد کند. یکی از مشکلات عمده آن، ایجاد بار اضافی بر سوئیچ و افزایش ترافیک شبکه است. وقتی که سوئیچ به اشتباه یک آدرس مک را به پورت‌های مختلف اختصاص می‌دهد، این امر باعث می‌شود که فریم‌های شبکه به‌طور مکرر ارسال و دریافت شوند، که موجب کاهش کارایی و تأخیر در شبکه می‌شود. علاوه بر این، این مشکل می‌تواند باعث ایجاد حلقه‌های شبکه‌ای (network loops) و تداخل در مسیریابی داده‌ها شود.

2. Flooding

تعریف Flooding:
Flooding به حالتی گفته می‌شود که سوئیچ به‌دلیل پر شدن جدول مک آدرس یا حمله، فریم‌ها را به تمام پورت‌ها ارسال می‌کند. این اتفاق زمانی رخ می‌دهد که سوئیچ نمی‌تواند مقصد فریم را در جدول مک آدرس پیدا کند و بنابراین تصمیم می‌گیرد که فریم را به همه پورت‌ها ارسال کند.

حمله Flooding:
Flooding در واقع یکی از تکنیک‌های رایج در حملات DoS (Denial of Service) است. مهاجم ممکن است به‌طور عمدی تعداد زیادی فریم جعلی را به سوئیچ ارسال کند تا جدول مک آدرس سوئیچ پر شود. در این حالت، سوئیچ مجبور می‌شود که تمام فریم‌ها را به تمامی پورت‌ها ارسال کند. این امر باعث ایجاد ترافیک اضافی در شبکه، کاهش سرعت انتقال داده‌ها و کاهش کارایی شبکه می‌شود. حملات Flooding می‌توانند در شبکه‌های حساس مشکلات بزرگی ایجاد کنند و باعث کاهش دسترسی به منابع شبکه شوند.

روش‌های شناسایی و پیشگیری از MAC Flapping و Flooding

برای جلوگیری از مشکلاتی مانند MAC Flapping و Flooding، لازم است که سوئیچ‌ها به‌درستی پیکربندی شوند و از ابزارهای مناسب برای شناسایی و پیشگیری از این مشکلات استفاده شود. در این بخش، به بررسی دو ابزار مفید برای مدیریت جدول مک آدرس و جلوگیری از Flooding خواهیم پرداخت.

1. دستور show mac address-table count

دستور show mac address-table count در سوئیچ‌های سیسکو به شما کمک می‌کند تا تعداد مک آدرس‌های موجود در جدول سوئیچ را مشاهده کنید. این دستور به‌ویژه زمانی مفید است که بخواهید بررسی کنید آیا جدول مک آدرس سوئیچ به حد ظرفیت خود رسیده است یا خیر. با استفاده از این دستور می‌توانید از وقوع مشکلاتی مانند Flooding پیشگیری کنید.

نحوه استفاده:
برای مشاهده تعداد مک آدرس‌ها، می‌توانید از دستور زیر استفاده کنید:

show mac address-table count

این دستور تعداد مک آدرس‌های موجود در جدول سوئیچ را نمایش می‌دهد. اگر تعداد مک آدرس‌ها نزدیک به حداکثر ظرفیت جدول باشد، ممکن است به مشکلاتی مانند Flooding یا MAC Flapping اشاره داشته باشد.

2. ویژگی Storm Control

یکی از ویژگی‌های مفید در سوئیچ‌های سیسکو برای جلوگیری از حملات Flooding، استفاده از storm-control است. این ویژگی می‌تواند ترافیک ناشی از Flooding را محدود کرده و از ارسال فریم‌ها به تمام پورت‌ها جلوگیری کند.

نحوه تنظیم Storm Control:

برای فعال‌سازی storm-control، می‌توانید از دستور زیر استفاده کنید:

interface range fa0/1 - 24
storm-control broadcast level 10.00 5.00

این دستور تنظیم می‌کند که سطح broadcast نباید از 10 درصد تجاوز کند و در صورت بروز Flooding، ترافیک بیشتر از 5 درصد مسدود شود.

3. تنظیمات دیگر برای پیشگیری از MAC Flapping و Flooding

علاوه بر دستورات و ویژگی‌های گفته‌شده، برخی تنظیمات دیگر نیز می‌توانند به جلوگیری از MAC Flapping و Flooding کمک کنند:

• PAgP و LACP: برای جلوگیری از پیکربندی اشتباه اتصالات شبکه و ایجاد حلقه‌های شبکه، می‌توان از PAgP (Port Aggregation Protocol) و LACP (Link Aggregation Control Protocol) استفاده کرد.
• BPDU Guard: برای جلوگیری از حملات شبکه‌ای که به‌دنبال ایجاد حلقه هستند، می‌توان از ویژگی BPDU Guard استفاده کرد.
• Root Guard: این ویژگی به سوئیچ‌ها کمک می‌کند که جلوی انتخاب غیرمجاز سوئیچ به‌عنوان Root Bridge را بگیرند و از ایجاد حلقه‌های شبکه‌ای جلوگیری کنند.

نتیجه‌گیری

پر شدن جدول مک آدرس در سوئیچ‌ها می‌تواند مشکلات زیادی را برای شبکه به‌وجود آورد. مشکلاتی مانند MAC Flapping و Flooding می‌توانند باعث کاهش کارایی شبکه و ایجاد ترافیک اضافی شوند. برای جلوگیری از این مشکلات، ضروری است که سوئیچ‌ها به‌درستی پیکربندی شوند و از ابزارهایی مانند دستور show mac address-table count و ویژگی storm-control استفاده شود. با انجام این تنظیمات و استفاده از ویژگی‌های محافظتی، می‌توان از بروز مشکلات در جدول مک آدرس جلوگیری کرده و عملکرد شبکه را بهبود بخشید.