一、集線器（hub）

1、首先在eNSP下配置環(huán)境：

2、在PC1執(zhí)行ping命令

ping192.168.1.2-c3

在抓包點PC3的Ethernet 0/0/1上抓包

3、由上可以看出，集線器可以看作是一根粗網(wǎng)線，它適用CMSA/CD協(xié)議，所有報文通過廣播發(fā)送。它不劃分沖突域和廣播域，整個集線器就是一個沖突域、廣播域，當(dāng)PC1發(fā)送報文時候，整個網(wǎng)絡(luò)被PC1占用，PC2與PC3處于等待狀態(tài)，PC1、PC2、PC3共享hub的總帶寬。

二、交換機（switch）

1、在eNSP下配置環(huán)境2（點擊下載）

LSW1上執(zhí)行命令，查看交換機CAM(Content Addressed Memory)表，結(jié)果為空。

displaymac-address

2、在LSW1的Ethernet 0/0/3與Ethernet 0/0/2同時抓包，在PC1執(zhí)行命令

ping192.168.1.22-c3

Ethernet 0/0/3抓包結(jié)果

Ethernet 0/0/2抓包結(jié)果

3、由此可見，交換機對廣播報文有轉(zhuǎn)發(fā)功能，當(dāng)某端口收到廣播報文時，交換機會將廣播報文轉(zhuǎn)發(fā)到每一個端口上。因此，整個交換機是一個廣播域，但每個接口劃分一個沖突域，因此每個端口的帶寬和交換機標(biāo)示帶寬相同。arp中間人攻擊發(fā)包過程就是利用這個原理，攻擊者發(fā)送arp響應(yīng)的廣播包，讓交換機每個端口上的設(shè)備都能收到響應(yīng)包，從而對局域網(wǎng)中的所有用戶進行欺騙和監(jiān)聽。

4、交換機背板帶寬，是交換機接口處理器或接口卡和數(shù)據(jù)總線所能吞吐的最大數(shù)據(jù)量。背板帶寬標(biāo)志了交換機總的數(shù)據(jù)交換能力，也叫交換帶寬。總帶寬=端口數(shù)*相應(yīng)的端口速率*2（全雙工模式）。如果背板帶寬大于等于總帶寬，背板帶寬就是就是線速帶寬。

5、此時在交換機執(zhí)行display mac-address查看CAM表，發(fā)現(xiàn)交換機已經(jīng)學(xué)習(xí)到端口連接設(shè)備的mac地址。

[Huawei]displaymac-address MACaddresstableofslot0: ------------------------------------------------------------------------------- MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SIMAC-Tunnel ------------------------------------------------------------------------------- 5489-985d-6c6a1--Eth0/0/2dynamic0/- 5489-9817-3c651--Eth0/0/1dynamic0/- ------------------------------------------------------------------------------- Totalmatchingitemsonslot0displayed=2

6、二層交換機的工作流程：

(1)當(dāng)交換機從某個端口收到一個數(shù)據(jù)包，它先讀取包頭中的源MAC地址，這樣就知道源MAC地址來自哪個端口。

(2)分析數(shù)據(jù)包所包含的目的MAC地址，并在地址表中查找是否有相對應(yīng)的端口。

(3)如果在表中查詢到有與這個目的MAC地址對應(yīng)的端口，把數(shù)據(jù)包直接復(fù)制到這個端口上。

(4)如果未能在表中查到相應(yīng)的端口，則交換機廣播該數(shù)據(jù)包；如果網(wǎng)絡(luò)內(nèi)有該目的主機，則對該包進行回應(yīng)；而交換機記錄該MAC地址對應(yīng)哪個端口。將來一段時間內(nèi)，就不需要對此類數(shù)據(jù)進行廣播了。

(5)不斷重復(fù)上述過程，則全網(wǎng)的MAC信息和端口對應(yīng)關(guān)系就可以建立起來。

三、路由器（router）

1、配置環(huán)境2

在AR1上執(zhí)行命令查看路由表

[Huawei]displayiprouting RouteFlags:R-relay,D-downloadtofib ------------------------------------------------------------------------------ RoutingTables:Public Destinations:10Routes:10 Destination/MaskProtoPreCostFlagsNextHopInterface 127.0.0.0/8Direct00D127.0.0.1InLoopBack0 127.0.0.1/32Direct00D127.0.0.1InLoopBack0 127.255.255.255/32Direct00D127.0.0.1InLoopBack0 192.168.1.0/24Direct00D192.168.1.1GigabitEthernet 0/0/0 192.168.1.1/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.1.255/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.2.0/24Direct00D192.168.2.1GigabitEthernet 0/0/1 192.168.2.1/32Direct00D127.0.0.1GigabitEthernet 0/0/1 192.168.2.255/32Direct00D127.0.0.1GigabitEthernet 0/0/1 255.255.255.255/32Direct00D127.0.0.1InLoopBack0

2、在PC1執(zhí)行命令

PC>ping192.168.2.22-c3 Ping192.168.2.22:32databytes,PressCtrl_Ctobreak Requesttimeout! From192.168.2.22:bytes=32seq=2ttl=127time=78ms From192.168.2.22:bytes=32seq=3ttl=127time=78ms

3、在GE0/0/0和GE0/0/1同時抓包
GE0/0/0抓包結(jié)果，mac地址為PC1–>GE0/0/0

GE0/0/1抓包結(jié)果，mac地址為GE0/0/1–>PC4

4、由此可見，數(shù)據(jù)包在經(jīng)過路由器后，只是改變了源地址到目的地址的mac地址，ip地址則不變，因此，我們在溯源過程中，一般情況下，在HIDS中查看數(shù)據(jù)報的mac地址并沒有實際意義，其很可能是傳輸過程中的路由器的端口mac地址。

5、路由器還有一個重要功能，其為了應(yīng)對各種網(wǎng)絡(luò)最大數(shù)據(jù)包大小（如以太網(wǎng)1518字節(jié)），對數(shù)據(jù)包進行“拆打”，即分段和組裝。

6、三層交換機與路由器的區(qū)別，路由器是無連接的設(shè)備，要對數(shù)據(jù)包進行“拆打”，導(dǎo)致路由器吞吐量有限，容易形成網(wǎng)絡(luò)瓶頸，路由轉(zhuǎn)發(fā)效率要比二層轉(zhuǎn)發(fā)效率低。因此三層交換機出現(xiàn)，彌補這一不足，其既利用了二層轉(zhuǎn)發(fā)高效的優(yōu)點，又實現(xiàn)了處理三層ip數(shù)據(jù)包的能力。只對數(shù)據(jù)包第一個包進行拆包，即路由一次，多次交換。

來源：公眾號【網(wǎng)絡(luò)技術(shù)干貨圈】

作者：圈圈

ID：wljsghq