mac – Ferhat Çiçek

alcatel – nokia omni switchlerde mac adres sınırı

tüm donanımlarda olduğu gibi alcatel – nokia omni switchlerin öğrenebileceği mac adresinde bir sınır var. mac move taşıma yapılan bir topoloji de çalıştırıyorsanız buna dikkat edilmesi gerekmektedir. 6850 de bu sınır 32K dır.

Troubleshooting dökümanların da konuyla ilgili olarak aşağıdaki ifadeler yer almaktadır.

“If the problems are associated with the source learning on a specific NI then the limitations of the Number of MAC addresses learned should also be considered. Current limitations are:

Number of learned MAC addresses per network interface (NI) module : 32K
Number of learned MAC addresses per switch : 64K

The OmniSwitch has a distributed architecture. Source Learning is specific to a NI.
Each NI has a layer 2 pseudo-cam which is which can hold 64K entries.
32K entries are reserved for L2 Source Addresses which are local to that NI in L2SA table and the rest of 32K entries are reserved for L2 Destination Addresses which can be from local or remote NI in L2DA table.”

switch üzerinde öğrenilen mac adresi sayısını öğrenmek istiyorsanız

show mac-address-table count

komutunu kullanabilirsiniz.

linux – ethernet arayüzünün mac adresi

linuxte ethernet arayüzü ve ip konusunda bilgi almak için ifconfig komutu kullanılabilir.

gelişmiş komut yorumlayıcısı ile nokta atışıda yapabilirsiniz.. aşağıda adım adım bu durum ve çıktısı incelenebilir…

fcicek@ubuntu:~$ ifconfig -a 
eth0      Link encap:Ethernet  HWaddr 00:0c:29:68:00:00  
          inet addr:192.168.126.128  Bcast:192.168.126.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fe68:0000/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:387259 errors:0 dropped:0 overruns:0 frame:0
          TX packets:225351 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:506148504 (506.1 MB)  TX bytes:22528155 (22.5 MB)

fcicek@ubuntu:~$ ifconfig -a | grep eth0 
eth0      Link encap:Ethernet  HWaddr 00:0c:29:68:00:00

fcicek@ubuntu:~$ ifconfig -a | grep eth0 | awk '{print $5}'
00:0c:29:68:00:00

fcicek@ubuntu:~$ ifconfig -a | grep fe80 | awk '{print$3}'
fe80::20c:29ff:fe68:0000/64

alcatel 6850 switchlerde mac adresi tablosu

sorun tespiti ve çözümü işlemi sırasında başvurulan en temel yerlerden birisi mac adresi tabloları dır. alcatel omni serisi switchlerde standart olmak üzere “show mac-address-table” komutu yer almaktadır.

1, 10 ve 305 vlanlarının tüm portlara taglı olarak tanıtımının bir switch üzerinde yapıldığını düşünelim. bu switch üzerinde komutuzu ve çıktılarını inceleyelim…

alcatel_omni_6850> show mac-address-table
Legend: Mac Address: * = address not valid

 Domain   Vlan/SrvcId        Mac Address            Type         Protocol     Operation          Interface
--------+--------------+---------------------+----------------+------------+--------------+------------------------
   VLAN    1              8c:90:d3:a3:21:88     learned          ---          bridging       1/1 
   VLAN    10             8c:90:d3:a3:21:88     learned          ---          bridging       1/1 
   VLAN    305            e0:2f:6d:73:b7:31     learned          ---          bridging       1/5 

Total number of Valid MAC addresses above = 3

tablodan görüldüğü üzere vlanid, mac adresi, interface, mac öğrenme türü protokolü v.b yer almaktadır. bu tablodan 1 ve 10 vlanın 1/1 portundan öğrenildiği 1/5 portundan ise 305 vlanı öğrenildiği görülmektedir. yani switch üzerimizde çalışan bir devre olmadığı görülmektedir.

1/1 portundaki bağlı cihazda gerekli düzenlemeler sonrası komutunu tekrar çalıştırdığımızda aşağıdaki şekilde bir çıktı elde ediyoruz. bu bize 1/1 – 1/5 portlarına bağlı cihazlardan 305 vlanı ile ilgili tanımların yapıldığı göstermektedir.

alcatel_omni_6850> show mac-address-table     
Legend: Mac Address: * = address not valid

 Domain   Vlan/SrvcId        Mac Address            Type         Protocol     Operation          Interface
--------+--------------+---------------------+----------------+------------+--------------+------------------------
   VLAN    1              8c:90:d3:a3:21:88     learned          ---          bridging       1/1 
   VLAN    10             8c:90:d3:a3:21:88     learned          ---          bridging       1/1 
   VLAN    305            00:14:1c:c1:0a:a8     learned          ---          bridging       1/1 
   VLAN    305            e0:2f:6d:73:b7:31     learned          ---          bridging       1/5 

Total number of Valid MAC addresses above = 4

“show mac-address-table ” komutunun en temel kullanımı bu şekildedir.

komut sonuna vlan veya interface yazılarak çıktı özelleştirilebilir. aşağıdaki örnekte görüldüğü gibi interface yazılınca o interfaceden öğrenilen mac adresleri görülecektir.

alcatel_omni_6850> show mac-address-table  1/5   
Legend: Mac Address: * = address not valid

 Domain   Vlan/SrvcId        Mac Address            Type         Protocol     Operation          Interface
--------+--------------+---------------------+----------------+------------+--------------+------------------------
   VLAN    305            e0:2f:6d:73:b7:31     learned          ---          bridging       1/5 

Total number of Valid MAC addresses above = 4

305 lanının hangi interfacelerden öğrenildiğini öğrenmek istiyorsak aşağıdaki yapıya uygun olarak komutumuzu işletmemiz gerekmektedir. daha fazla parametresi mevcut olup cli un helpinden gerekli bilgi alınabilir.

alcatel_omni_6850> show mac-address-table 305    
Legend: Mac Address: * = address not valid

 Domain   Vlan/SrvcId        Mac Address            Type         Protocol     Operation          Interface
--------+--------------+---------------------+----------------+------------+--------------+------------------------
   VLAN    305            00:14:1c:c1:0a:a8     learned          ---          bridging       1/1 
   VLAN    305            e0:2f:6d:73:b7:31     learned          ---          bridging       1/5 

Total number of Valid MAC addresses above = 4

huawei s5300 switchlerde mac adresi kontrolü

elimizde huawei s5300 serisi bir switcholduğunu varsayarak cihazın öğrenmiş olduğu mac adreslerini incelemek istiyorsak işimize yarayacak bir kaç temel komut var. bunlardan en temel olanı “display mac-address” oldukça işimize yaracaktır.

aşagıda display mac-address komutundan sonra kullanabileceğimiz parametreler ve örnek bir çıktı görülmektedir.

<huawei_s5300>display mac-address ?
  H-H-H           MAC address
  aging-time      Aging-time
  authen          Authenticated user item
  blackhole       Blackhole item
  dynamic         Dynamic item
  guest           Guest user item
  mux             mux mac
  secure-dynamic  secure-dynamic mac
  static          Static item
  sticky          Sticky mac
  summary         Summary of MAC-Address
  total-number    Total number of MAC address
  |               Matching output

<huawei_s5300>display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address    VLAN/       PEVLAN CEVLAN Port            Type      LSP/LSR-ID
               VSI/SI                                              MAC-Tunnel
-------------------------------------------------------------------------------
4434-881a-48cc 31          -      -      Eth-Trunk1      dynamic   -
4819-a6e3-44b2 31          -      -      GE0/0/3         dynamic   -
8c94-d329-3441 33          -      -      Eth-Trunk1      dynamic   -
8c94-d329-3441 35          -      -      Eth-Trunk1      dynamic   -
286e-d446-6cd4 1           -      -      Eth-Trunk1      dynamic   -
1828-615a-6b35 34          -      -      GE0/0/3         dynamic   -
4443-ea97-a2ba 34          -      -      Eth-Trunk1      dynamic   -
4443-ea97-a2ba 33          -      -      Eth-Trunk1      dynamic   -
4443-ea97-a2ba 99          -      -      Eth-Trunk1      dynamic   -
84eb-46e4-1a35 34          -      -      GE0/0/3         dynamic   -
84eb-46e4-1a35 35          -      -      GE0/0/3         dynamic   -
84eb-46e4-1a35 33          -      -      GE0/0/3         dynamic   -
4434-8813-1479 34          -      -      Eth-Trunk1      dynamic   -
4cac-4ad5-ba39 33          -      -      Eth-Trunk1      dynamic   -
4444-5e44-41e5 34          -      -      Eth-Trunk1      dynamic   -
4444-5e44-41e4 35          -      -      Eth-Trunk1      dynamic   -
4444-5e44-41d4 33          -      -      Eth-Trunk1      dynamic   -

Kablosuz Ağlarda Güvenlik

Bir çok internet kullanıcısı teknoloji merakından ve eksik – yanlış bilgisinden dolayı kablosuz ağlara yönelmekte ve kablosuz ağlarda gerekli önlemleri almamaktadırlar.

Bu kullanıcılar durumun ciddiyetinden farksız şekilde dizüstü bilgisayarımda, mobil cihazlarımda kablosuz internet kullanıyorum, kablodan kurtuldum şeklinde değerlendirmektdirler.

Peki bu kablosuz ağlardaki sakınca nedir.

Yeterli güvenlik önlemi alınmamış ağlar kapsamı alanı içindeki tüm kullanıcıların erişimine imkan vermektedir.

Peki bu erişim hakkına sahip olunabilirse ne yapılabilir sorusu gelecektir aklımıza;

Bu şekildeki bir ağa sızan kullanıcıların internet üzerinden yapmış olduğu her türlü faaliyetten yasal olarak kablosuz ağın güvenliğini almayan kişi sorumludur. (Herhangi bir yasal durumda suçlu kablosuz ağın sahibi olacaktır bu durumdan kullanıcıların bir çoğunun bilgisi yoktur)

Kotalı internet kullanıcıları kendi yapmadıkları veri tragiğine ücret ödemek durumunda kalacaklardır. Ay sonunda gelen faturaya şaşıracak ben kullanmadım diye suçu internet servis sağlayısına atacak onlardan çzöüm bekleyecektir.

Kablosuz iletişim sırasında her türlü yazışma, bankacılık işlemleri, dosya transferi v.b. radyo dalgaları olarak uzaya yayılmaktadır. Gerekli bilgiye sahip ve düzeneğe sahip kişiler tarafından bu bilgiler dinlene – izlenebilir. Bu yüzden dolayı mutlaka en üst düzeyde veri şifreleme yöntemlerini kullanmamız gerekmektedir.

Şu andaki kullanılmakta olan bir çok modem WEP, WPA/WPA2 desteklemektedir. Ancak kolay olmasından dolayı bir çok kullanıcı hala WEP kullanmaktadır. WPA aya göre çözülmesi çok kolay olan WEP dn tüm kullanıcılar acilen kullanmayı bırakmalıdır.

Sonuç olarak bir kablosuz ağda kullancıların alabilecekleri önlemleri sıralayacak olursak

– SSID fabrika ayarlarından bırakılmalı ve farklı bir isim verilmelidir.
– SSID gizlenmelidir.
– MAC filtreleme aktif hale getirilmelidir.
– Donanımların izin verdiği maksimum bit uzunluklu şiferleme yöntemleri kullanılmalı
– Şifrelemede kullanılan şifreler kısa ve kolay şifreler seçilmemeli. ( örnek : pi.$65Adjfg!ApldTmkFlkfgOl345 )
– Ağda oturum açma özelliği kullanılmalı.
– Yayın yapan cihazda ip bloğu doğru şekilde tanımlanmalı, ağı kullanacak birgisayar sayısınca ip dağıtacak şekilde ayarlannmlı.

Duplicate MAC Address

Alcatel ISAM da eğer bu arıza ile karşılaşıyorsak bunun nedeni aynı porta kısa sürelerle iki ayrı mac adresine sahip cihaz bağlanmasıdır. Bunun için sistemin o portan mac adresini silmesini beklemeli yada ISAM dan port lock/unlock yapılarak o porttan mac adresinin silinmesi sağlanmalıdır.