我读过纸出于安全考虑,某些中间设备(如防火墙)没有 MAC 地址。我无法使用 Google 搜索进行确认。这是常见做法吗?如何做到这一点?
答案1
如果防火墙的唯一目的是检查和丢弃数据包,那么它就没有理由拥有 MAC 地址。我的意思是,MAC 地址的全部意义在于为设备提供一个本地(唯一)标识符,其他设备可以使用该标识符与其通信。因为实际上,它们只想通信通过它,实际上并不需要。
就实现细节而言,最好的办法是假装它不存在(这可能违反标准)。例如,拿一个数据包。检查它,如果它看起来不错,则不加修改地转发它。如果它看起来不好,就把它丢弃,就像什么都没发生一样。
答案2
如何做到这一点很容易回答。如果您需要通过 IP 作为目的地可访问,则只需要 MAC。不需要执行回显数据的简单任务(如简单的集线器或非托管交换机)。
作为防火墙,您不需要回显/转发所有内容,只需回显/转发打开的端口。
答案3
主机的接口可以分组到“桥接器”中 - 相当于以太网集线器,它只是将一个接口上的所有传入内容重新转换到其他接口。所有接口都以所谓的“混杂”模式工作,并接收每个传入数据包,而不管其目标 MAC/IP 地址是什么。带有桥接器和数据包过滤器的主机称为过滤桥接器。
在 VLAN 出现之前,过滤网桥是一种常见的做法。它们允许以各种方式分离子网,并使用复杂的规则集过滤流量。事实上,具有 VLAN 的现代交换机是相同的过滤网桥,内部逻辑相同。
桥接混合接口不会通过 ARP 广播其 MAC/IP,因此主机成为“隐形主机”,不可见、难以察觉且无法访问,只能通过控制台进行管理。