网络中存在2个地址
IP、MAC

 

谁是互联网的主要地址呢?

IP为什么不是MAC地址呢?

  • 根据OSI七层模型,交换机是工作在数据链路层,主要基于MAC地址转发,比较安全。通俗来讲MAC地址在以太网通过交换机进行通信,也就是MAC地址主要在局域网中传输。
  • 路由器是工作在网络层,也就是IP层。国际互联网主要是路由器来做交换的,IP地址是基于路由器转发的 。路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络,也可以说,路由器构成了Internet的骨架。

实验

  • 使用ipconfig命令查看自己的ip地址
    使用ping命令去ping对方,查看结果

疑问

  • 我们的通信发生在以太网内部的,两台主机之间的设备也是交换机,交换机基于MAC地址转发数据包为什么使用ping命令,ping对方的ip地址能够ping通呢?

分析

  • 如果数据包携带的是目的地的ip地址,到达交换机以后交换机只有一个字:滚,看来不可能是只写了ip地址的必然是同时写了mac地址的

结论

  • pcA去试图和pcB进行访问的时候,实现知道了pcB的ip地址以后,使用ARP协议(地址解析协议),去广播询问pcB的MAC地址主机B受到询问以后,进行回答,主机A获取到主机B的MAC地址
  • 以太网通信的时候,知道了目的地的ip地址以后,必须通过ARP协议
  • 解析到目的地的MAC地址,只有知晓了目的地的MAC地址以后,才能经过交换机进行通信
  • ARP分为一问一答
  • 192.168.1.1   192.168.1.2
  • who has 192.168.1.2 tell 192.168.1.1 广播包,所有人都会收到192.168.1.2 is at 9A-3F-4B-21-67-1C

引申

  • 如何基于ARP实现一种黑客攻击,让你的同桌掉线?
  • 如何使用ARP协议实现中间人攻击,从而获取到你同桌的账号密码呢?

防御

  • 从网络工程师的角度上,如何防御以太网中的大量广播,以及ARP攻击问题呢?最基本的办法就是划分VLAN

实验流程以及相应命令
a .百度 下载cisco packet tracer 6.2
b .拖拽一台交换机 cisco2960系列交换机,两台电脑连接到交换机上
c. 分别配置两台电脑的ip地址为192.168.1.1 和192.168.1.2
d. 使用ping命令去ping192.168.1.2 观察ping结果
使用ping -t 192.168.1.2 再次观察不同
e. 在交换机上使用命令
Switch>enable //进入特权模式
Swith#configure terminal //进入到全局模式
Switch(config)#vlan 10 //创建一个vlan10
switch(config)#vlan 20 //创建一个vlan20
Switch(config)#interface fa0/1 //进入到交换机连接到pc1的接口
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 10 //把接口划分到vlan10中
Switch(config)#interface fa0/2 //进入到交换机连接到pc2的接口
switch(config-if)#switchport mode access
switch(config-if)#switchport access vlan 20 //把接口划分到vlan10中
f .再次观察两台主机是否能够ping通

扩展,如果再加一个交换机呢?又怎么样划分VLAN?怎样PC0单独和PC2进行通信?

 

发表回复

后才能评论