Static MAC Address Table Entry – Hiểu Đúng & Ứng Dụng Thực Tế


Trong mạng switching, một trong những cơ chế nền tảng nhưng lại cực kỳ quan trọng về Layer 2 security chính là MAC Address Table (CAM Table).

Thông thường, switch sẽ tự động học MAC address bằng cách:

• Đọc source MAC address từ frame đến
• Ghi vào bảng MAC
• Flood frame nếu chưa biết destination

Tuy nhiên, cơ chế “auto-learning” này lại mở ra một vấn đề lớn về bảo mật.

---

⚠️ Lỗ hổng: MAC Address Spoofing


Switch mặc định tin tưởng mọi MAC học được → dẫn đến khả năng bị tấn công:

• Attacker có thể spoof MAC address
• Ghi đè entry trong MAC table
• Redirect traffic hoặc sniff dữ liệu

👉 Đây là nền tảng của nhiều attack:

• MAC Flooding
• Man-in-the-Middle (MITM)
• ARP Spoofing kết hợp L2 attack

---

🔐 Giải pháp: Static MAC Entry


Static MAC là cách:

• Fix cứng MAC address vào một interface cụ thể
• Ngăn switch học sai
• Tăng control ở Layer 2

📌 Quan trọng:

• Static entry luôn ưu tiên hơn dynamic entry
• Không bị override bởi traffic

---

🔬 Lab minh họa (R1 ↔ SW1)


Theo sơ đồ trong tài liệu (page 1):

• R1: 192.168.12.1/24
• SW1 VLAN 1: 192.168.12.2/24
• Kết nối qua FastEthernet

Bước 1: Tạo traffic để switch học MAC

R1# ping 192.168.12.2 Bước 2: Kiểm tra MAC table

SW1# show mac address-table dynamic vlan 1

Kết quả (page 2):

• MAC của R1 được học dạng DYNAMIC
• Gắn với port Fa0/1

---

🔧 Chuyển sang Static MAC

SW1(config)# mac address-table static 001d.a1b8.36d0 vlan 1 interface fastEthernet 0/1

Kiểm tra lại:
SW1# show mac address-table static

👉 Entry lúc này sẽ là:

• Type: STATIC
• Port: Fa0/1

---

🚫 Advanced Use Case: Drop Traffic


Một kỹ thuật rất hay (và ít người khai thác):
SW1(config)# mac address-table static 001d.a1b8.36d0 vlan 1 drop

💡 Ý nghĩa:

• Mọi frame gửi đến MAC này sẽ bị drop
• Không forward ra bất kỳ port nào

📌 Kết quả:

• Ping từ R1 sẽ fail hoàn toàn (page 2)

---

🧠 Góc nhìn CCIE / Security

1. Static MAC ≠ chỉ dùng để “fix”


Nó còn dùng để:

• Chặn thiết bị rogue
• Lock down port
• Control traffic L2

---

2. So với Port Security
👉 Thực tế:

• Static MAC → dùng cho critical device
• Port Security → dùng cho access layer

---

3. Khi nào nên dùng?


✔ Thiết bị quan trọng:

• Router
• Firewall
• Server

✔ Môi trường:

• Data Center
• OT/ICS Network
• Zero Trust Layer 2

---

4. Hạn chế

• Không scale tốt (manual config)
• Không phù hợp mạng lớn
• Không dynamic

---

🔥 Best Practice (Thực chiến)

• Kết hợp:
  • Static MAC + Port Security
  • DHCP Snooping
  • Dynamic ARP Inspection
• Dùng trong:
  • VLAN management
  • Infrastructure segment

---

📌 Cấu hình hoàn chỉnh (tóm tắt)


R1:
interface FastEthernet0/0
ip address 192.168.12.1 255.255.255.0
no shutdown

SW1:
interface vlan 1
ip address 192.168.12.2 255.255.255.0

mac address-table static 001d.a1b8.36d0 vlan 1 drop

---

🚀 Kết luận


Static MAC Address Table Entry là một tính năng đơn giản nhưng cực kỳ powerful:

• Giúp kiểm soát Layer 2
• Ngăn chặn spoofing
• Tăng security cho network

👉 Nhưng:

• Không nên dùng standalone
• Phải kết hợp với các cơ chế L2 security khác

​