Im vorherigen Kapitel haben wir uns mit Frames und Framing-Techniken beschäftigt – der grundlegenden Struktur, in der Daten auf der Sicherungsschicht (Layer 2) organisiert werden. Eine zentrale Frage blieb jedoch bisher unbeantwortet: Wie werden diese Frames an die richtigen Empfänger zugestellt? Hier kommen MAC-Adressen (Media Access Control) und die Adressierungsmechanismen auf Layer 2 ins Spiel.
Die Adressierung auf der Sicherungsschicht erfüllt eine fundamentale Aufgabe in Netzwerken: Sie ermöglicht die eindeutige Identifikation und direkte Kommunikation zwischen Geräten innerhalb eines lokalen Netzwerksegments. Anders als die logischen Adressen der Vermittlungsschicht (Layer 3), die eine Ende-zu-Ende-Kommunikation über Netzwerkgrenzen hinweg ermöglichen, sind MAC-Adressen für die direkte Kommunikation zwischen benachbarten Geräten konzipiert.
In diesem Kapitel werden wir uns eingehend mit MAC-Adressen, ihrer Struktur, Zuweisung und Verwendung beschäftigen. Wir betrachten die verschiedenen Arten von MAC-Adressen, wie sie in Frames eingebettet werden und welche Rolle sie bei der Kommunikation in lokalen Netzwerken spielen. Darüber hinaus untersuchen wir, wie MAC-Adressen mit Adressen höherer Schichten interagieren und welche praktischen Implikationen sich daraus ergeben.
Eine MAC-Adresse (Media Access Control-Adresse) ist eine weltweit eindeutige Kennung, die jedem Netzwerkadapter zugewiesen wird. Sie dient als physikalische Adresse auf der Sicherungsschicht und erfüllt mehrere zentrale Funktionen:
MAC-Adressen werden oft auch als “physikalische Adressen” oder “Hardware-Adressen” bezeichnet, da sie traditionell fest mit der Hardware eines Netzwerkadapters verbunden sind. Im Gegensatz zu IP-Adressen, die konfigurierbar und an logische Netzwerktopologien gebunden sind, sind MAC-Adressen ursprünglich als unveränderliche, herstellerseitig zugewiesene Identifikatoren konzipiert.
Eine Standard-MAC-Adresse (nach IEEE 802) besteht aus 48 Bits (6 Bytes) und wird üblicherweise in hexadezimaler Notation dargestellt, wobei die Bytes durch Doppelpunkte oder Bindestriche getrennt werden:
00:1A:2B:3C:4D:5E oder 00-1A-2B-3C-4D-5EDie 48 Bits einer MAC-Adresse sind in zwei Hauptteile unterteilt:
Organizational Unique Identifier (OUI): Die ersten 24 Bits (3 Bytes) bilden den OUI, der vom IEEE an Hardwarehersteller vergeben wird. Der OUI identifiziert den Hersteller oder die Organisation, die die Netzwerkkarte produziert hat.
Gerätekennung: Die letzten 24 Bits (3 Bytes) werden vom Hersteller vergeben und sollen innerhalb des OUI-Bereichs eindeutig sein. Diese Kombination aus OUI und herstellerspezifischer Kennung macht die MAC-Adresse weltweit eindeutig.
Innerhalb des ersten Bytes einer MAC-Adresse haben zwei spezielle Bits besondere Bedeutung:
I/G-Bit (Individual/Group): Das niederwertigste Bit des ersten Bytes bestimmt, ob es sich um eine individuelle Adresse (0) oder eine Gruppenadresse (1) handelt. Gruppenadressierung wird für Multicast verwendet.
U/L-Bit (Universal/Local): Das zweitniederwertigste Bit des ersten Bytes gibt an, ob die Adresse universell (0, vom IEEE zugewiesen) oder lokal (1, administrativ zugewiesen) ist.
Beispiel: Bei der MAC-Adresse
00:1A:2B:3C:4D:5E: - Die ersten 3 Bytes
(00:1A:2B) identifizieren den Hersteller. - Die letzten 3
Bytes (3C:4D:5E) sind die vom Hersteller zugewiesene
Gerätekennung. - Das I/G-Bit ist 0 (individuell), da das erste Byte
00 ist. - Das U/L-Bit ist ebenfalls 0 (universell), was
bedeutet, dass es sich um eine vom IEEE zugewiesene Adresse handelt.
Je nach Verwendungszweck und Zuweisung können MAC-Adressen in verschiedene Kategorien eingeteilt werden:
Eine Unicast-MAC-Adresse identifiziert genau eine Netzwerkschnittstelle. Dies ist der häufigste Typ von MAC-Adressen und wird für die direkte Kommunikation zwischen zwei Geräten verwendet. Bei Unicast-Adressen ist das I/G-Bit auf 0 gesetzt.
Multicast-MAC-Adressen werden verwendet, um Frames an eine Gruppe von
Netzwerkgeräten zu senden. Sie haben das I/G-Bit auf 1 gesetzt.
Ethernet-Multicast-Adressen beginnen typischerweise mit
01:00:5E, gefolgt von 24 Bits, die aus der
IP-Multicast-Adresse abgeleitet werden.
IPv6-Multicast-Adressen werden auf Ethernet-Multicast-Adressen mit
dem Präfix 33:33 abgebildet, gefolgt von den letzten 32
Bits der IPv6-Multicast-Adresse.
Die Broadcast-MAC-Adresse FF:FF:FF:FF:FF:FF ist eine
spezielle Form der Gruppenadressierung, bei der ein Frame an alle Geräte
im lokalen Netzwerksegment gesendet wird. Jedes Gerät im selben
Broadcast-Domain wird Frames mit dieser Zieladresse verarbeiten.
Broadcasts sind ein wichtiger Mechanismus für Dienste wie ARP, DHCP und andere Protokolle, die Geräte finden müssen, deren Adressen noch nicht bekannt sind.
Während die meisten MAC-Adressen vom Hersteller fest in die Hardware eingebrannt sind, unterstützen viele moderne Netzwerkadapter auch die Möglichkeit, die MAC-Adresse per Software zu ändern (MAC-Spoofing oder MAC-Cloning). Diese administrativ zugewiesenen Adressen haben das U/L-Bit auf 1 gesetzt, was anzeigt, dass sie nicht vom IEEE zugewiesen wurden.
MAC-Spoofing kann legitime Anwendungsfälle haben, wie: - Erfüllung von Anforderungen bestimmter ISPs, die nur bestimmte MAC-Adressen akzeptieren - Verschleierung der tatsächlichen Geräteidentität aus Datenschutzgründen - Testen und Fehlerbehebung in Netzwerken
Es kann aber auch missbräuchlich eingesetzt werden, beispielsweise zur Umgehung von MAC-basierten Zugriffskontrollen.
Die IEEE Registration Authority ist für die Verwaltung und Zuweisung von OUIs verantwortlich. Unternehmen oder Organisationen, die Netzwerkgeräte herstellen, können OUIs vom IEEE erwerben, die dann für die Generierung eindeutiger MAC-Adressen verwendet werden.
Der Prozess der OUI-Registrierung umfasst: 1. Einreichung einer Anfrage beim IEEE 2. Zahlung einer Gebühr 3. Erhalt eines oder mehrerer OUI-Blöcke 4. Verantwortung für die Verwaltung und eindeutige Vergabe der Geräteidentifikatoren innerhalb dieser Blöcke
Die IEEE führt eine öffentliche Datenbank der zugewiesenen OUIs, die es ermöglicht, anhand der ersten drei Bytes einer MAC-Adresse den Hersteller des Geräts zu identifizieren. Diese Datenbank wird regelmäßig aktualisiert und ist ein wertvolles Werkzeug für Netzwerkadministratoren bei der Identifizierung und Fehlerbehebung von Geräten.
Die weltweite Eindeutigkeit von MAC-Adressen basiert auf zwei Hauptprinzipien:
In der Praxis gibt es jedoch Einschränkungen dieser idealen Eindeutigkeit: - Administrativ zugewiesene MAC-Adressen können zu Duplikaten führen - Produktionsfehler können selten zu doppelt vergebenen Adressen führen - Manche Virtualisierungslösungen generieren MAC-Adressen, die möglicherweise nicht vollständig eindeutig sind
Für die meisten praktischen Anwendungen ist die Eindeutigkeit von MAC-Adressen jedoch ausreichend zuverlässig, insbesondere innerhalb eines einzelnen Netzwerks. Moderne Switches und Netzwerke verfügen außerdem über Mechanismen, um mit duplizierten MAC-Adressen umzugehen, auch wenn dies zu suboptimaler Leistung führen kann.
In modernen Netzwerkumgebungen werden MAC-Adressen oft nicht mehr ausschließlich an physische Hardware gebunden. Verschiedene Technologien verwenden virtuelle oder dynamisch zugewiesene MAC-Adressen:
Virtualisierungsplattformen weisen virtuellen Maschinen oft generierte MAC-Adressen zu. Diese können aus einem reservierten Pool stammen oder algorithmisch erzeugt werden. Hypervisoren wie VMware, Hyper-V und KVM haben jeweils eigene Methoden zur Erzeugung und Verwaltung virtueller MAC-Adressen.
Moderne Server-Netzwerkkarten unterstützen NIV, bei der eine physische Netzwerkkarte mehrere virtuelle Netzwerkadapter (VNICs) präsentieren kann, jeder mit einer eigenen MAC-Adresse.
VRRP verwendet virtuelle MAC-Adressen für Hochverfügbarkeitsgruppen
von Routern. Die virtuelle VRRP MAC-Adresse beginnt typischerweise mit
00:00:5E:00:01:XX, wobei XX die VRRP-Gruppen-ID ist.
Lastverteilungstechnologien verwenden oft gemeinsam genutzte MAC-Adressen, um eingehenden Verkehr auf mehrere Server zu verteilen. Dies kann auf verschiedene Weise implementiert werden, einschließlich Multicast-MAC-Adressen oder MAC-Adressübernahme bei Failover.
In Ethernet-Netzwerken, dem vorherrschenden LAN-Standard, spielen MAC-Adressen eine zentrale Rolle. Jeder Ethernet-Frame enthält sowohl eine Quell- als auch eine Ziel-MAC-Adresse im Header:
+----------------+----------------+----------------+
| Ziel-MAC (6B) | Quell-MAC (6B) | Typ/Länge (2B) | ...
+----------------+----------------+----------------+Diese Adressierung ermöglicht: - Direktes Senden von Frames an spezifische Geräte (Unicast) - Senden an Gerätegruppen (Multicast) - Senden an alle Geräte im Netzwerksegment (Broadcast)
Ethernet verwendet einen einfachen direkten Adressierungsmechanismus, bei dem jeder Frame die vollständige MAC-Adresse des Ziels enthält. Dies steht im Gegensatz zu einigen anderen Technologien, die verkürzte oder indirekte Adressierungsschemata verwenden.
WLAN-Frames verwenden ebenfalls MAC-Adressen, haben jedoch eine komplexere Adressierungsstruktur als Ethernet. Ein WLAN-Frame kann bis zu vier MAC-Adressen enthalten:
Die genaue Bedeutung und Verwendung dieser Adressen hängt vom Typ und der Funktion des WLAN-Frames ab. Diese komplexere Struktur wird benötigt, um die verschiedenen Modi der WLAN-Kommunikation (Infrastruktur, Ad-hoc, Mesh, etc.) zu unterstützen.
Obwohl heute weitgehend historisch, verwendeten auch andere Layer-2-Protokolle MAC-Adressen, jedoch oft mit leicht unterschiedlichen Formaten oder Anwendungen:
Token Ring (IEEE 802.5): - Verwendete ebenfalls 48-Bit-MAC-Adressen - Das “Routing Information Field” (RIF) konnte zur Erweiterung der Adressierung verwendet werden - Unterstützte “Functional Addresses” für spezielle Netzwerkfunktionen
FDDI (Fiber Distributed Data Interface): - Verwendete das gleiche 48-Bit-Adressformat wie Ethernet - Unterstützte ähnliche Adressierungsmodi (Unicast, Multicast, Broadcast)
LocalTalk: - Apples proprietäres Netzwerkprotokoll verwendete 8-Bit-Knotenadressen, die dynamisch zugewiesen wurden - Wesentlich einfachere Adressierungsstruktur als IEEE 802-Standards
Die Art, wie MAC-Adressen zur Weiterleitung von Frames verwendet werden, hängt von der Netzwerktopologie und den eingesetzten Geräten ab:
In einem einfachen, gemeinsam genutzten Medium (wie beim ursprünglichen 10BASE-5 Ethernet): - Jedes Gerät empfängt alle Frames auf dem Medium - Jedes Gerät prüft die Ziel-MAC-Adresse jedes Frames - Nur Frames, die an die eigene MAC-Adresse, eine relevante Multicast-Adresse oder die Broadcast-Adresse gerichtet sind, werden für die Verarbeitung akzeptiert - Alle anderen Frames werden verworfen
Moderne Netzwerke verwenden Bridges und Switches, um die Effizienz zu verbessern: - Switches lernen MAC-Adressen, indem sie die Quell-MAC-Adresse jedes eingehenden Frames mit dem Eingangsport assoziieren - Diese Informationen werden in einer MAC-Adresstabelle (auch bekannt als CAM-Tabelle) gespeichert - Bei eingehenden Frames wird die Ziel-MAC-Adresse in der Tabelle nachgeschlagen - Der Frame wird nur an den Port weitergeleitet, der mit der Ziel-MAC-Adresse assoziiert ist - Wenn die Ziel-MAC-Adresse nicht in der Tabelle ist, wird der Frame an alle Ports außer dem Eingangsport gesendet (Flooding)
Dieser Prozess verbessert die Netzwerkeffizienz erheblich, da der Verkehr nur an die relevanten Ports weitergeleitet wird, anstatt das gesamte Netzwerk zu belasten.
Ein Broadcast-Domain ist ein Netzwerksegment, in dem alle Geräte Broadcast-Frames empfangen, die innerhalb dieses Segments gesendet werden. Da Broadcasts an alle Geräte gesendet werden, können sie in großen Netzwerken zu erheblicher Last führen.
MAC-basierte Broadcasts werden typischerweise begrenzt durch: - Router: Layer-3-Geräte leiten keine Layer-2-Broadcasts weiter - VLANs: Virtuelle LANs teilen ein physisches Netzwerk in separate Broadcast-Domains - Layer-2-Protokolle: Einige Protokolle wie Spanning Tree Protocol (STP) können Broadcast-Traffic steuern
Die effektive Verwaltung von Broadcast-Domains ist ein wichtiger Aspekt des Netzwerkdesigns, da übermäßiger Broadcast-Traffic die Netzwerkleistung beeinträchtigen kann.
Layer-2-Multicast verwendet spezielle MAC-Adressen, um Frames an eine Gruppe von Empfängern zu senden. Diese speziellen Adressen haben das I/G-Bit auf 1 gesetzt.
Für IP-Multicast gibt es eine definierte Abbildung zwischen
IP-Multicast-Adressen und Ethernet-Multicast-MAC-Adressen: - Für
IPv4-Multicast beginnen die MAC-Adressen mit 01:00:5E,
gefolgt von den 23 niederwertigen Bits der IPv4-Multicast-Adresse - Für
IPv6-Multicast beginnen die MAC-Adressen mit 33:33, gefolgt
von den 32 niederwertigen Bits der IPv6-Multicast-Adresse
Diese Mapping-Regeln bedeuten, dass mehrere IP-Multicast-Adressen auf dieselbe MAC-Multicast-Adresse abgebildet werden können, was als “Aliasing” bezeichnet wird. Dies erfordert zusätzliche Filterung auf höheren Ebenen.
Moderne Switches unterstützen oft IGMP Snooping (für IPv4) und MLD Snooping (für IPv6), um Layer-2-Multicast effizienter zu gestalten, indem sie Multicast-Traffic nur an Ports weiterleiten, die an diesen Multicast-Gruppen interessiert sind.
Damit der Datenverkehr auf Layer 2 weitergeleitet werden kann, müssen IP-Adressen (Layer 3) in MAC-Adressen (Layer 2) aufgelöst werden. Hierfür werden zwei Hauptprotokolle verwendet:
ARP ermöglicht die Auflösung von IPv4-Adressen in MAC-Adressen: 1. Ein Gerät benötigt die MAC-Adresse, die einer bekannten IP-Adresse entspricht 2. Es sendet einen ARP-Request als Broadcast an alle Geräte im lokalen Netzwerk 3. Das Gerät mit der gesuchten IP-Adresse antwortet mit seiner MAC-Adresse 4. Diese Zuordnung wird im ARP-Cache gespeichert
Die Details des ARP-Protokolls werden in einem späteren Kapitel ausführlicher behandelt.
NDP erfüllt für IPv6 eine ähnliche Funktion wie ARP für IPv4, ist jedoch Teil des ICMPv6-Protokolls und bietet erweiterte Funktionen: 1. Ein Gerät sendet eine Neighbor Solicitation-Nachricht an eine spezielle IPv6-Multicast-Adresse 2. Das Zielgerät antwortet mit einer Neighbor Advertisement-Nachricht, die seine MAC-Adresse enthält 3. Diese Zuordnung wird im Neighbor Cache gespeichert
NDP bietet gegenüber ARP mehrere Verbesserungen, darunter bessere Sicherheit, integrierte Duplikaterkennung und optimierte Verwendung von Multicast statt Broadcast.
IEEE 802.1X ist ein Standard für Portzugangskontrolle, bei dem die Authentifizierung auf der Sicherungsschicht stattfindet. MAC-Adressen spielen hier eine wichtige Rolle:
In einigen Implementierungen, besonders in WLAN-Netzwerken, kann auch die MAC-Adresse selbst als Authentifizierungsfaktor verwendet werden (MAC-Filterung). Dies bietet jedoch nur begrenzte Sicherheit, da MAC-Adressen leicht gefälscht werden können.
Das Dynamic Host Configuration Protocol (DHCP) verwendet MAC-Adressen als primären Identifikator für Clients:
In DHCPv6 wird zwar häufig ein DUID (DHCP Unique Identifier) anstelle der reinen MAC-Adresse verwendet, aber dieser basiert oft auf der MAC-Adresse oder enthält sie als Komponente.
MAC-Adressfilterung ist eine einfache Form der Zugangskontrolle, bei der nur Geräte mit bestimmten MAC-Adressen Zugang zum Netzwerk erhalten:
Implementierungen: - In Access Points: Nur autorisierte MAC-Adressen dürfen eine Verbindung herstellen - In Switches: Port Security kann auf bestimmte MAC-Adressen beschränkt werden - In Firewalls: MAC-Adressen können als Filterkritierium verwendet werden
Vorteile: - Einfach zu implementieren - Kann als zusätzliche Sicherheitsebene dienen - Nützlich in Umgebungen mit begrenzter Anzahl bekannter Geräte
Nachteile: - Leicht zu umgehen durch MAC-Spoofing - Administrativer Aufwand bei größeren Netzwerken - Keine Verschlüsselung oder starke Authentifizierung
MAC-Adressfilterung sollte daher nicht als alleinige Sicherheitsmaßnahme betrachtet werden, sondern als ergänzende Kontrolle in einer umfassenderen Sicherheitsstrategie.
MAC-Spoofing ist die Praxis, die MAC-Adresse eines Netzwerkadapters zu ändern, um eine andere Identität vorzutäuschen:
Techniken: - Temporäre Änderung über Betriebssystemfunktionen oder Tools - Permanente Änderung in der Firmware einiger Netzwerkkarten - Virtualisierung mit benutzerdefinierten MAC-Adressen
Sicherheitsrisiken: - Umgehung von MAC-basierten Zugriffskontrollen - MAC-Flooding-Angriffe auf Switches - ARP-Spoofing und Man-in-the-Middle-Angriffe - MAC-Cloning für nicht autorisierte Netzwerknutzung
Gegenmaßnahmen: - 802.1X-Authentifizierung anstelle einfacher MAC-Filterung - DHCP-Snooping und Dynamic ARP Inspection - Port Security mit Sticky-MAC-Features - Netzwerküberwachung zur Erkennung ungewöhnlicher MAC-Adressänderungen
Es ist wichtig zu verstehen, dass MAC-Adressen nur für die administrative Identifikation, nicht aber für kryptographisch sichere Authentifizierung konzipiert wurden. Moderne Sicherheitsmaßnahmen sollten daher über reine MAC-basierte Kontrollen hinausgehen.
Duplizierte MAC-Adressen im selben Netzwerksegment führen zu unvorhersehbarem Verhalten und können schwer zu diagnostizieren sein:
Ursachen: - Fehlerhafte Virtualisierungskonfigurationen - Versehentliches Klonen von MAC-Adressen - Herstellungsfehler (selten) - Absichtliches Spoofing
Symptome: - Intermittierende Verbindungsabbrüche - Unerklärliche Netzwerklatenz - Pakete, die an die falsche Destination zugestellt werden - “MAC flapping”-Meldungen in Switch-Logs
Diagnoseansätze: 1. Überprüfung der Switch-Logs auf “MAC flapping”-Meldungen 2. Verwendung von Netzwerkanalysatoren zur Identifizierung doppelter MAC-Adressen 3. Temporäre Isolation von Netzwerksegmenten 4. Systematische Überprüfung virtueller Maschinen und Netzwerkadapter
Lösungsstrategien: - Neuzuweisung eindeutiger MAC-Adressen an virtuelle Maschinen - Korrektur von Konfigurationsfehlern - Identifikation und Behebung von Hardwarefehlern - Netzwerksegmentierung zur Isolation problematischer Bereiche
Virtualisierung und Software-Defined Networking (SDN) haben neue Ansätze zur Verwendung von MAC-Adressen eingeführt:
In virtualisierten Umgebungen können mehrere virtuelle Maschinen auf demselben physischen Host laufen, jede mit eigenen virtuellen Netzwerkadaptern und MAC-Adressen:
In Overlay-Netzwerken wie VXLAN (Virtual Extensible LAN) werden MAC-Adressen in Tunnelprotokolle eingekapselt:
Diese Technologie ermöglicht die Erweiterung von Layer-2-Domains über IP-Netzwerke hinweg, was besonders in Cloud- und Rechenzentrumsumgebungen nützlich ist.
Gespannte Layer-2-Domains (Stretched Layer 2) erweitern ein einziges Broadcast-Domain über mehrere physische Standorte:
Technologien: - Ethernet over MPLS (EoMPLS) - Virtual Private LAN Service (VPLS) - Shortest Path Bridging (SPB) - Transparent Interconnection of Lots of Links (TRILL)
In diesen Umgebungen behalten die MAC-Adressen ihre Bedeutung über Standortgrenzen hinweg bei, was Vorteile für VM-Mobilität und Hochverfügbarkeit bietet, aber auch Herausforderungen für das Skalierbarkeitsverwaltung und für das Konvergenzverhalten bei Netzwerkänderungen mit sich bringt.
In modernen automatisierten Netzwerken spielen MAC-Adressen eine wichtige Rolle bei der Netzwerkerkennung, dem Inventarmanagement und der Automatisierung:
Netzwerkmanagement-Plattformen verwenden MAC-Adressen, um Geräte im Netzwerk zu identifizieren und zu katalogisieren: - LLDP (Link Layer Discovery Protocol): Geräte tauschen Informationen einschließlich ihrer MAC-Adressen aus - CDP (Cisco Discovery Protocol): Ähnlich wie LLDP, aber proprietär für Cisco-Geräte - SNMP-Erkennung: Abfrage von Bridge-MIBs, um MAC-Adressen zu erfassen
MAC-Adressen dienen als Primärschlüssel in vielen Inventarsystemen: - Dauerhafter Identifikator für Netzwerkgeräte über IP-Änderungen hinweg - Basis für die Nachverfolgung des Geräte-Lebenszyklus - Verbindung zwischen physischen Assets und Netzwerkidentitäten
Automatisierte Bereitstellungssysteme verwenden MAC-Adressen, um neue Geräte zu identifizieren und zu konfigurieren: 1. Ein neues Gerät wird an das Netzwerk angeschlossen 2. Das Gerät sendet DHCP-Anfragen, die seine MAC-Adresse enthalten 3. Der ZTP-Server identifiziert das Gerät anhand seiner MAC-Adresse 4. Basierend auf dieser Identifikation wird die entsprechende Konfiguration zugewiesen
Dies ermöglicht die Massenbereitstellung von Netzwerkgeräten ohne manuelle Konfiguration.
Content Addressable Memory (CAM) ist ein spezialisierter Speichertyp, der in Switches verwendet wird, um MAC-Adressen zu speichern und schnelle Lookups zu ermöglichen:
Eine typische CAM-Tabelle in einem Switch enthält folgende Informationen: - MAC-Adresse - Zugehöriger Switchport - VLAN-ID (bei VLAN-fähigen Switches) - Typ des Eintrags (statisch oder dynamisch) - Alter des Eintrags (bei dynamischen Einträgen)
Die CAM-Tabelle ermöglicht es dem Switch, eingehende Frames schnell an den korrekten Ausgangsport weiterzuleiten. Im Gegensatz zu normalen Speichertypen ermöglicht CAM parallele Suchen nach Werten, was für die Hochgeschwindigkeitsweiterleitung von Frames entscheidend ist.
Switches lernen MAC-Adressen dynamisch durch Beobachtung des Netzwerkverkehrs: 1. Ein Frame kommt an einem Port an 2. Der Switch extrahiert die Quell-MAC-Adresse 3. Die Adresse wird mit dem Eingangsport in der CAM-Tabelle gespeichert 4. Wenn die Adresse bereits in der Tabelle existiert, wird der Eintrag aktualisiert
Für jede eingehende Frame-Zieladresse wird die CAM-Tabelle konsultiert, um zu bestimmen, an welchen Port der Frame weitergeleitet werden soll. Wenn die Adresse nicht in der Tabelle vorhanden ist, wird der Frame an alle Ports außer dem Eingangsport gesendet (Flooding).
Um die CAM-Tabelle aktuell zu halten und Speicherplatz zu sparen, implementieren Switches Mechanismen zur Alterung von Einträgen: - Typische Aging-Timers liegen zwischen 300 und 600 Sekunden (5-10 Minuten) - Wenn innerhalb dieser Zeit kein Traffic von einer MAC-Adresse gesehen wird, wird der Eintrag entfernt - Der Aging-Timer wird zurückgesetzt, wenn Traffic von der Adresse gesehen wird - Statische Einträge altern nicht und bleiben bestehen, bis sie manuell entfernt werden
MAC-Adresstabellen können sowohl dynamische als auch statische Einträge enthalten:
Dynamische Einträge werden automatisch durch den MAC-Learning-Prozess erstellt: - Vorteile: Automatische Anpassung an Netzwerkänderungen, kein manueller Konfigurationsaufwand - Nachteile: Können bei MAC-Spoofing oder -Flooding kompromittiert werden, begrenzte Sicherheit
Statische Einträge werden manuell vom Administrator konfiguriert: - Vorteile: Höhere Sicherheit, Beständigkeit über Neustarts hinweg, Schutz vor MAC-Flooding - Nachteile: Höherer Verwaltungsaufwand, manuelle Updates bei Netzwerkänderungen erforderlich
In der Praxis verwenden die meisten Netzwerke eine Kombination aus beiden Arten: - Dynamisches Lernen für den Großteil des normalen Traffics - Statische Einträge für kritische Infrastrukturgeräte oder zur Implementierung von Sicherheitsrichtlinien
Port Security ist eine Switch-Funktion, die die Anzahl und/oder spezifische MAC-Adressen kontrolliert, die an einem Port aktiv sein dürfen:
Die meisten Switches unterstützen verschiedene Port-Security-Modi: - Sticky Learning: Der Switch lernt dynamisch MAC-Adressen, konvertiert sie aber in quasi-statische Einträge - Maximale Anzahl: Begrenzt die Anzahl der MAC-Adressen, die an einem Port aktiv sein dürfen - Spezifische Adressen: Erlaubt nur explizit konfigurierte MAC-Adressen an einem Port
Bei Verletzung der Port-Security-Regeln kann der Switch verschiedene Maßnahmen ergreifen: - Protect: Unbekannte MAC-Adressen werden verworfen, der Port bleibt aktiv - Restrict: Wie Protect, zusätzlich werden Sicherheitsverletzungen protokolliert - Shutdown: Der Port wird deaktiviert und muss manuell wieder aktiviert werden - Shutdown VLAN: Nur die betroffene VLAN wird auf dem Port deaktiviert (bei Multi-VLAN-Ports)
Diese Technologien ergänzen die Port Security und schützen vor MAC- und IP-basierten Angriffen: - DHCP Snooping: Überwacht DHCP-Kommunikation und erstellt eine Bindungstabelle zwischen MAC-Adressen, IP-Adressen und Switchports - Dynamic ARP Inspection (DAI): Verwendet die DHCP-Snooping-Bindungstabelle, um ARP-Pakete zu validieren und ARP-Spoofing zu verhindern
MAC-Adressen sind wertvolle Werkzeuge bei der Netzwerkdiagnose und -fehlerbehebung:
MAC-Flooding ist ein Angriff, bei dem ein Angreifer gefälschte Frames mit unterschiedlichen Quell-MAC-Adressen sendet, um die CAM-Tabelle eines Switches zu überfüllen: - Symptome: Switch fällt in Hub-Modus zurück und leitet alle Frames an alle Ports weiter - Gegenmaßnahmen: Port Security mit maximaler Adressanzahl, 802.1X-Authentifizierung, Netzwerküberwachung
MAC-Flapping tritt auf, wenn eine MAC-Adresse schnell zwischen verschiedenen Ports wechselt: - Ursachen: Netzwerkschleifen, duplizierte MAC-Adressen, Spoofing-Angriffe - Symptome: “MAC flapping”-Meldungen in Switch-Logs, intermittierende Konnektivitätsprobleme - Lösungen: Überprüfung auf Netzwerkschleifen, Port Security, Spanning Tree Protocol
Verschiedene Befehle sind für die MAC-basierte Diagnose verfügbar: -
show mac address-table (Cisco) /
show mac-address-table (HP/Aruba): Zeigt
die MAC-Adresstabelle eines Switches -
arp -a (Windows, Linux, macOS): Zeigt die
ARP-Tabelle des Hosts - ip neigh (Linux):
Zeigt die Neighbor-Tabelle (ARP/NDP) des Hosts -
tcpdump -e (Linux) /
Wireshark: Zeigt MAC-Adressen in Paketen
an
Moderne Netzwerkmanagement-Systeme bieten erweiterte MAC-bezogene Funktionen: - Visualisierung der MAC-Adressen im Netzwerk - Historische Verfolgung von MAC-Adressen über Zeit und Ort - Automatische Benachrichtigung bei MAC-bezogenen Ereignissen - Integration von MAC-Adress-Tracking mit Asset-Management
Mit der Zunahme vernetzter Geräte hat der IEEE bereits 64-Bit-MAC-Adressen standardisiert: - IEEE 802c definiert lokale 64-Bit-MAC-Adressen - Erweiterter Adressraum für IoT und andere Masseneinsätze - Derzeit begrenzte Unterstützung in Hardware und Betriebssystemen
Moderne Netzwerkarchitekturen entwickeln sich in Richtung programmierbarerer MAC-Nutzung: - Software-Defined Networking ermöglicht dynamischere MAC-Adressverwaltung - Virtualisierung und Containerisierung erfordern flexible MAC-Zuweisung - Datenschutzbedenken fördern temporäre oder randomisierte MAC-Adressen
MAC-Adressen können als Tracking-Identifikatoren missbraucht werden: - Moderne Betriebssysteme implementieren MAC-Randomisierung für WLAN-Scan-Vorgänge - Randomisierte MAC-Adressen schützen vor Standortverfolgung - Diese Entwicklungen stellen neue Herausforderungen für Netzwerkmanagement und -sicherheit dar