MAC и IP адреса: основы сетевой идентификации

Чтобы понять, как работают компьютерные сети, важно разобраться, как данные находят путь от одного устройства к другому. В основе этого процесса лежит многоуровневая система адресации. Два ключевых идентификатора в ней — это MAC-адрес и IP-адрес.

Хотя новички часто путают их между собой, они работают на разных уровнях сети. MAC-адрес — это физический идентификатор для локальной передачи между устройствами. IP-адрес — логический идентификатор для маршрутизации пакетов между сетями и через интернет. Понимание их взаимодействия — база для сетевой инженерии и кибербезопасности.

MAC-адрес: физическая идентификация

MAC (Media Access Control) — это постоянный аппаратный идентификатор сетевого интерфейса (NIC). Любое устройство, подключающееся к сети (ноутбук, сервер, смартфон), получает уникальный MAC-адрес на этапе производства.

Основные свойства

• Постоянство: MAC-адрес «зашит» в оборудование. В отличие от IP, он обычно не меняется при переходе между сетями.
• Формат: Стандартный MAC-адрес имеет длину 48 бит. Для удобства чтения записывается как 12 шестнадцатеричных символов, обычно через двоеточия (например, 00:1A:2B:3C:4D:5E).
• Масштаб: 48-битное пространство даёт более 281 триллиона комбинаций, что обеспечивает глобальную уникальность сетевого оборудования.

Как устроен MAC-адрес

Чтобы исключить совпадения MAC-адресов у разных устройств, 48 бит делятся на две равные части:

• OUI (Organizationally Unique Identifier): первые 24 бита выделяются производителю оборудования (Cisco, Apple, Intel и т.д.) международным реестром.
• Device ID: последние 24 бита — серийный номер сетевого интерфейса внутри диапазона производителя.

Локальная доставка в сети

MAC-адреса используются только в пределах локальной сети (уровень 2 модели OSI). Они не проходят через маршрутизаторы и не «путешествуют» по интернету. Коммутаторы используют MAC-адреса для направления кадров: в памяти коммутатора хранится CAM-таблица, где MAC-адреса сопоставлены физическим портам. При получении кадра коммутатор смотрит адрес назначения и отправляет трафик только на нужный порт.

IP-адрес: логическая маршрутизация

Если MAC-адрес показывает физическое устройство, то IP-адрес определяет логическое положение узла в сети. IP работает на сетевом уровне (уровень 3) и позволяет маршрутизировать пакеты между разными сетями, включая глобальный интернет.

Динамическая выдача (DHCP)

IP-адрес не является постоянным: обычно он арендуется устройству. При подключении к сети протокол DHCP (Dynamic Host Configuration Protocol) назначает свободный IP из пула. После отключения адрес возвращается в пул и может быть выдан другому устройству.

Публичные и приватные IP, NAT

В современных сетях есть разделение на публичное и приватное адресное пространство:

• Публичные IP: глобально уникальные адреса, маршрутизируемые в интернете. Обычно провайдер выдаёт один публичный IP вашему роутеру.
• Приватные IP: адреса внутренней сети (например, 192.168.1.5), которые не маршрутизируются в открытом интернете.

Чтобы несколько устройств с приватными IP могли выходить в интернет через один публичный адрес, роутер выполняет NAT (Network Address Translation). Он подменяет приватный IP отправителя своим публичным IP, а на обратном пути делает обратное преобразование.

IPv4 и IPv6

Сегодня используются две версии IP-протокола:

• IPv4: старый стандарт с 32-битным форматом (например, 192.168.1.1). Поддерживает около 4.3 млрд адресов.
• IPv6: современный стандарт с 128-битной записью (например, 2001:0db8::8a2e), обеспечивающий практически неисчерпаемое адресное пространство (3.4 × 10^38) и более эффективную маршрутизацию.

Связь MAC и IP: процесс ARP

Для передачи данных нужны оба адреса. IP задаёт маршрут до цели, но локальное оборудование (кабели, коммутаторы) работает с MAC-адресами.

Преобразование IP-адреса в MAC в локальной сети делает протокол ARP (Address Resolution Protocol).

Как работает ARP

Когда компьютер хочет отправить данные локальному устройству (например, IP 192.168.1.50), он должен узнать его MAC-адрес:

1. Широковещательный запрос: компьютер отправляет ARP Request всем в локальной сети: «Кто владеет IP 192.168.1.50?»
2. Одноадресный ответ: нужное устройство отвечает ARP Reply со своим MAC-адресом.
3. Кэширование: сопоставление IP→MAC сохраняется в ARP-кэше, чтобы не запрашивать адрес повторно при каждом пакете.

Движение данных по маршруту: hop-by-hop

Важный принцип маршрутизации: IP-адреса определяют end-to-end путь, а MAC-адреса работают только на текущем физическом участке.

Когда вы отправляете запрос на сайт:

• IP-адреса остаются неизменными: Source IP (ваше устройство) и Destination IP (веб-сервер) сохраняются по всему пути.
• MAC-адреса меняются на каждом переходе: MAC не проходит через маршрутизатор. На каждом хопе роутер снимает старый L2-заголовок, смотрит IP-назначение, выбирает следующий узел и формирует новый L2-заголовок с новыми MAC-адресами.

Типовые уязвимости безопасности

Протоколы адресации проектировались в эпоху небольших доверенных сетей, поэтому не имеют встроенной надёжной защиты. Из-за этого они часто становятся целями атак.

• ARP spoofing: злоумышленник отправляет поддельные ARP-ответы и подменяет соответствие IP↔MAC, перенаправляя трафик жертвы через себя.
• MAC flooding: атакующий заполняет CAM-таблицу коммутатора большим числом фальшивых MAC-адресов. Коммутатор может перейти в режим широковещательной отправки, что облегчает перехват трафика.
• IP spoofing: подмена source IP в пакетах для маскировки источника, обхода фильтров и участия в DoS-атаках.

Для снижения рисков применяют функции коммутаторов и сетевой инфраструктуры, например Dynamic ARP Inspection и Port Security.

Краткий итог

Сетевая адресация строится на разделении ролей. MAC-адрес обеспечивает физическую идентичность устройства в локальном сегменте сети. IP-адрес задаёт логическую структуру и маршрут между сетями по всему интернету.

Без MAC не работает локальная доставка кадров. Без IP невозможна глобальная маршрутизация. Понимание того, как они связаны, — фундамент для сетевой инженерии и кибербезопасности.