1.vlan(虚拟局域网)
参考概念:是对连接到第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个vlan可以在一个交换机或跨交换机实现。vlan可以根据网络用户的位置、作用、部门或根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。[-----------百度百科](https://baike.baidu.com/item/%E8%99%9A%E6%8B%9F%E5%B1%80%E5%9F%9F%E7%BD%91/419962?fromtitle=VLAN&fromid=320429&fr=aladdin)
vlan技术出现的背景:
在大型网络下,由于Windows NetBEUI是广播协议,当网络规模很大时,网上的广播信息会很多,会导致网络性能恶化,甚至形成广播风暴,引起网络堵塞。
vlan技术解决的什么问题:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。
简单理解一下vlan技术的出现背景和解决的问题
vlan-----------教室
电脑(广播包)-------------人(说话的声音)
说明:电脑发送广播包跟我们都要通过说话进行交流一样,如果一台电脑不发送也不接受广播包,它就是一台单机。
vlan原理:同一个vlan内的交换机的端口是可以相互通信的,不同vlan间的交换机端口不能通信。
先补充一点交换机的基础命令:
Switch> -------此模式下几乎什么都做不了,请直接输入enable(可以在此模式下运行脚本直接配置)
Switch>enable
Switch# -------查看,可以所有的配置
Switch#config t -----进入配置模式(思科软件可以按Tab补全命令)
Switch(config)# ----对交换机进行配置
模式退:exit
vlan技术的配置实现(思科):
一、创建vlan10 vlan 20教室
Switch(config)#vlan 10 -----创建vlan 10
Switch(config-vlan)#exit ------退出
Switch(config)#vlan 20
Switch(config-vlan)#exit
二、将电脑搬到教室里面。
Switch(config)#interface f0/1 -----则交换机与电脑(终端)相连的端口f0/1
Switch(config-if)#switchport access vlan 10 ------将端口f0/1加入对应vlan中
Switch(config-if)#exit
Switch(config)#interface f0/3
Switch(config-if)#switchport access vlan 20
vlan配置思路:
假如我们不给交换机配置vlan,那么所有连接电脑的端口都默认在vlan1下面,一旦交换机连接的电脑过多就会造成广播风暴,是网络变慢。
下面讲讲为啥设置了vlan就可以解决广播风暴的原因:
简单来说就是不同vlan之间不能通信(在不同教室里面,我们听不见其他教室的声音,就不会被噪音困扰了)
为什么不同vlan间不能通信?
首先计算机不仅有ip地址还有mac地址(物理地址,全球唯一的一个48位地址)
不同的vlan对应不同的网段,如果不同vlan使用相同网段,网络就会出错。
而在同一个网段内通信是通过mac地址进行通信的,也就是说同一个vlan下的电脑是通过mac地址来进行通信的。交换机里面有一个ARP地址解析协议可以通过对方的IP地址去解析出对方的mac地址。
图示一下同一vlan下的两台电脑间的通信过程:
vlan间不能够通信的根本原因:vlan隔离了广播包(arp采用的广播来进行地址解析)。
vlan技术的企业运用:
a、企业里面一般会把一个部门划分成一个vlan,同时会给这个Vlan分配一个单独网段。技术部、财务部、销售部等等。
b、 vlan来进行导流。
2.trunk技术:
trunk技术的背景:交换机与交换机之间存在线路的浪费。
trunk技术解决的问题:使多个vlan可以在一条线路上进行传输。注意这个技术解决不了vlan间的通信的。
trunk技术的原理
a、trunk用来承载vlan
b、trunk打标签与脱标签
trunk的配置:
配置位置:交换机与交换机相连接的端口下面解析配置
语句:interface 对应端口号
switchport mode trunk
简述两种攻击手法:
1.泛洪攻击:由于交换机的mac地址表大小有限,可以用kali的macof工具产生大量虚拟mac地址,让交换机不断学习,填满交换机mac地址表后,同一vlan下所有发送给交换机的数据包只能通过广播的方式发出,就是说我们可以通过抓包获取我们目标机的一些敏感数据(对于弱一点的交换机macof命令可以直接使其死机)。
- List item
2.arpspoof欺骗:
原理:每个电脑想要上网,与其他电脑交流都要通过网关出去(我们要与其他班级的同学交流就需要我们走出教室才行,网关就相当于教室门)
图示:
arpspoof单向欺骗命令:arpspoof -i eth0 -t 目标机ip 计算机网关
可以目标机实现断网
实际是通过arp欺骗让目标机的网关被修改,使目标机的数据包都发向攻击机
arpspoof双向欺骗命令:1、echo 1>/proc/sys/net/ipv4/ip_forward(打开kali路由转发功能)
2、arpspoof -i eth0 -t 目标机ip 计算机网关
arpspoof -i eth0 -t 计算机网关 目标机ip
可以抓包获取敏感数据
实际情况:
/此笔记用于记录学习,若有错误请大佬指出/手动抱拳*****/