交換機(jī)、路由器工作原理難理解？通過WireShark抓包就搞定了

一、集線器（hub）

1、首先在eNSP下配置環(huán)境：

2、在PC1執(zhí)行ping命令

ping192.168.1.2-c3

在抓包點(diǎn)PC3的Ethernet 0/0/1上抓包

3、由上可以看出，集線器可以看作是一根粗網(wǎng)線，它適用CMSA/CD協(xié)議，所有報(bào)文通過廣播發(fā)送。它不劃分沖突域和廣播域，整個(gè)集線器就是一個(gè)沖突域、廣播域，當(dāng)PC1發(fā)送報(bào)文時(shí)候，整個(gè)網(wǎng)絡(luò)被PC1占用，PC2與PC3處于等待狀態(tài)，PC1、PC2、PC3共享hub的總帶寬。

二、交換機(jī)（switch）

1、在eNSP下配置環(huán)境2（點(diǎn)擊下載）

LSW1上執(zhí)行命令，查看交換機(jī)CAM(Content Addressed Memory)表，結(jié)果為空。

displaymac-address

2、在LSW1的Ethernet 0/0/3與Ethernet 0/0/2同時(shí)抓包，在PC1執(zhí)行命令

ping192.168.1.22-c3

Ethernet 0/0/3抓包結(jié)果

Ethernet 0/0/2抓包結(jié)果

3、由此可見，交換機(jī)對(duì)廣播報(bào)文有轉(zhuǎn)發(fā)功能，當(dāng)某端口收到廣播報(bào)文時(shí)，交換機(jī)會(huì)將廣播報(bào)文轉(zhuǎn)發(fā)到每一個(gè)端口上。因此，整個(gè)交換機(jī)是一個(gè)廣播域，但每個(gè)接口劃分一個(gè)沖突域，因此每個(gè)端口的帶寬和交換機(jī)標(biāo)示帶寬相同。arp中間人攻擊發(fā)包過程就是利用這個(gè)原理，攻擊者發(fā)送arp響應(yīng)的廣播包，讓交換機(jī)每個(gè)端口上的設(shè)備都能收到響應(yīng)包，從而對(duì)局域網(wǎng)中的所有用戶進(jìn)行欺騙和監(jiān)聽。

4、交換機(jī)背板帶寬，是交換機(jī)接口處理器或接口卡和數(shù)據(jù)總線所能吞吐的最大數(shù)據(jù)量。背板帶寬標(biāo)志了交換機(jī)總的數(shù)據(jù)交換能力，也叫交換帶寬。總帶寬=端口數(shù)*相應(yīng)的端口速率*2（全雙工模式）。如果背板帶寬大于等于總帶寬，背板帶寬就是就是線速帶寬。

5、此時(shí)在交換機(jī)執(zhí)行display mac-address查看CAM表，發(fā)現(xiàn)交換機(jī)已經(jīng)學(xué)習(xí)到端口連接設(shè)備的mac地址。

[Huawei]displaymac-address MACaddresstableofslot0: ------------------------------------------------------------------------------- MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SIMAC-Tunnel ------------------------------------------------------------------------------- 5489-985d-6c6a1--Eth0/0/2dynamic0/- 5489-9817-3c651--Eth0/0/1dynamic0/- ------------------------------------------------------------------------------- Totalmatchingitemsonslot0displayed=2

6、二層交換機(jī)的工作流程：

(1)當(dāng)交換機(jī)從某個(gè)端口收到一個(gè)數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣就知道源MAC地址來自哪個(gè)端口。

(2)分析數(shù)據(jù)包所包含的目的MAC地址，并在地址表中查找是否有相對(duì)應(yīng)的端口。

(3)如果在表中查詢到有與這個(gè)目的MAC地址對(duì)應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這個(gè)端口上。

(4)如果未能在表中查到相應(yīng)的端口，則交換機(jī)廣播該數(shù)據(jù)包；如果網(wǎng)絡(luò)內(nèi)有該目的主機(jī)，則對(duì)該包進(jìn)行回應(yīng)；而交換機(jī)記錄該MAC地址對(duì)應(yīng)哪個(gè)端口。將來一段時(shí)間內(nèi)，就不需要對(duì)此類數(shù)據(jù)進(jìn)行廣播了。

(5)不斷重復(fù)上述過程，則全網(wǎng)的MAC信息和端口對(duì)應(yīng)關(guān)系就可以建立起來。

三、路由器（router）

1、配置環(huán)境2

在AR1上執(zhí)行命令查看路由表

[Huawei]displayiprouting RouteFlags:R-relay,D-downloadtofib ------------------------------------------------------------------------------ RoutingTables:Public Destinations:10Routes:10 Destination/MaskProtoPreCostFlagsNextHopInterface 127.0.0.0/8Direct00D127.0.0.1InLoopBack0 127.0.0.1/32Direct00D127.0.0.1InLoopBack0 127.255.255.255/32Direct00D127.0.0.1InLoopBack0 192.168.1.0/24Direct00D192.168.1.1GigabitEthernet 0/0/0 192.168.1.1/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.1.255/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.2.0/24Direct00D192.168.2.1GigabitEthernet 0/0/1 192.168.2.1/32Direct00D127.0.0.1GigabitEthernet 0/0/1 192.168.2.255/32Direct00D127.0.0.1GigabitEthernet 0/0/1 255.255.255.255/32Direct00D127.0.0.1InLoopBack0

2、在PC1執(zhí)行命令

PC>ping192.168.2.22-c3 Ping192.168.2.22:32databytes,PressCtrl_Ctobreak Requesttimeout! From192.168.2.22:bytes=32seq=2ttl=127time=78ms From192.168.2.22:bytes=32seq=3ttl=127time=78ms

3、在GE0/0/0和GE0/0/1同時(shí)抓包
GE0/0/0抓包結(jié)果，mac地址為PC1–>GE0/0/0

GE0/0/1抓包結(jié)果，mac地址為GE0/0/1–>PC4

4、由此可見，數(shù)據(jù)包在經(jīng)過路由器后，只是改變了源地址到目的地址的mac地址，ip地址則不變，因此，我們?cè)谒菰催^程中，一般情況下，在HIDS中查看數(shù)據(jù)報(bào)的mac地址并沒有實(shí)際意義，其很可能是傳輸過程中的路由器的端口mac地址。

5、路由器還有一個(gè)重要功能，其為了應(yīng)對(duì)各種網(wǎng)絡(luò)最大數(shù)據(jù)包大?。ㄈ?a target="_blank">以太網(wǎng)1518字節(jié)），對(duì)數(shù)據(jù)包進(jìn)行“拆打”，即分段和組裝。

6、三層交換機(jī)與路由器的區(qū)別，路由器是無連接的設(shè)備，要對(duì)數(shù)據(jù)包進(jìn)行“拆打”，導(dǎo)致路由器吞吐量有限，容易形成網(wǎng)絡(luò)瓶頸，路由轉(zhuǎn)發(fā)效率要比二層轉(zhuǎn)發(fā)效率低。因此三層交換機(jī)出現(xiàn)，彌補(bǔ)這一不足，其既利用了二層轉(zhuǎn)發(fā)高效的優(yōu)點(diǎn)，又實(shí)現(xiàn)了處理三層ip數(shù)據(jù)包的能力。只對(duì)數(shù)據(jù)包第一個(gè)包進(jìn)行拆包，即路由一次，多次交換。

來源：公眾號(hào)【網(wǎng)絡(luò)技術(shù)干貨圈】

作者：圈圈

ID：wljsghq