VLAN是网络交换机的一种技术,可以把不同的电脑划分在不同的网络中,使其不能
互相通信,以达到提高安全性和网络性能的目的。要跨越VLAN通信,必须借助路由
器或者3层交换模块。
我这里的ADSL网在接入层使用了Cisco的Catalyst6509型三层交换机,在端口上设置
了VLAN,把同一IP段的用户相互隔开。这样一来,安全性倒是高了,可惜平时打游
戏、共享文件都不方便,需要通过其他IP段的朋友中转。于是突破VLAN成了当务之
急。
我所在的段,IP地址为10.145.254.x,网关为10.145.254.1,采用24位的掩码。因
为是同一IP段,所以电脑不会自动通过路由器转发数据,而妄想通过直接通信的方
式联络对方电脑。在VLAN环境下,ARP是收不到回应的,因此直接通信也就被禁止了
。
要想实现互通,必须强制电脑把数据发给路由器。
大家知道,路由器判断一个数据包是否应该转发,是以其2层地址和3层地址为依据
的。如果该数据包的目标MAC地址不是路由器接口的MAC地址,那么这个包根本不是
给路由器的,而是HUB产生的1层广播包;如果目标MAC地址与路由器接口的MAC地址
相同,但目标IP地址并不是路由器接口的IP地址,这个包就应该被路由出去;如果
目标MAC地址和IP地址都与路由器接口相匹配,那这个数据包是发给路由器本身的。
电脑在发送数据时,先判断目标和自己是否在同一IP网段。如果在同一网段,则发
送ARP请求,查询对方的MAC地址,然后封包发送;如果不在同一IP网段,则发送数
据包,并把包头中目标MAC地址设置为本子网的路由器接口的MAC地址,而目标IP地
址则是最终接收数据的电脑的IP地址的数据包。路由器收到数据以后,就会把它转
发出去。
要强制电脑把本来直接发送的数据发给路由器,可以从ARP协议上下手,也可以从判
断是否同一网段的过程下手。
使用ARP的方法如下:
1、使用arp -a命令查看已知的MAC列表。因为目前VLAN里只有网关和本身,所以这
里只显示网关的MAC地址:
Internet Address Physical Address Type
10.145.254.1 00-d0-04-14-af-fc dynamic
2、使用arp -s命令把要与之通信的电脑的IP地址和网关的MAC地址强行捆绑。这样
,这台电脑就会把发给对方的数据发给路由器。对方的机器也要运行这个命令,不
过IP地址要指定为这一台。比如10.145.254.a和10.145.254.b通信,要在10.145.2
54.a上运行arp -s 10.145.254.b 00-d0-04-14-af-fc ,而在10.145.254.b上运行
arp -s 10.145.254.a 00-d0-04-14-af-fc。
经过这样的设置,电脑还以为自己在直接发送数据,而路由器以为自己收到了需要
路由的数据包。这其实是一种ARP欺骗技术。
使用同子网判断的方法如下:
双方使用route命令,建立一条“主机路由”。所谓主机路由,就是针对一台电脑而
不是一个IP网段的路由项目,其目标掩码为255.255.255.255。
在10.145.254.a上运行route ADD 10.145.254.b MASK 255.255.255.255 10.145.
254.1 ,在10.145.254.b上运行route ADD 10.145.254.a MASK 255.255.255.255
10.145.254.1即可。根据路由的最长匹配原则,电脑在发送数据时会选择掩码里1
比较多的那一项,也就是主机路由(32位掩码),而不会认为对方和自己同一子网
(24位掩码)。
使用以上两种方法,就可以突破VLAN的限制了。除了CS的LAN Gane还不能正常运行
(Internet Game正常)以外,其他软件均运行正常
互相通信,以达到提高安全性和网络性能的目的。要跨越VLAN通信,必须借助路由
器或者3层交换模块。
我这里的ADSL网在接入层使用了Cisco的Catalyst6509型三层交换机,在端口上设置
了VLAN,把同一IP段的用户相互隔开。这样一来,安全性倒是高了,可惜平时打游
戏、共享文件都不方便,需要通过其他IP段的朋友中转。于是突破VLAN成了当务之
急。
我所在的段,IP地址为10.145.254.x,网关为10.145.254.1,采用24位的掩码。因
为是同一IP段,所以电脑不会自动通过路由器转发数据,而妄想通过直接通信的方
式联络对方电脑。在VLAN环境下,ARP是收不到回应的,因此直接通信也就被禁止了
。
要想实现互通,必须强制电脑把数据发给路由器。
大家知道,路由器判断一个数据包是否应该转发,是以其2层地址和3层地址为依据
的。如果该数据包的目标MAC地址不是路由器接口的MAC地址,那么这个包根本不是
给路由器的,而是HUB产生的1层广播包;如果目标MAC地址与路由器接口的MAC地址
相同,但目标IP地址并不是路由器接口的IP地址,这个包就应该被路由出去;如果
目标MAC地址和IP地址都与路由器接口相匹配,那这个数据包是发给路由器本身的。
电脑在发送数据时,先判断目标和自己是否在同一IP网段。如果在同一网段,则发
送ARP请求,查询对方的MAC地址,然后封包发送;如果不在同一IP网段,则发送数
据包,并把包头中目标MAC地址设置为本子网的路由器接口的MAC地址,而目标IP地
址则是最终接收数据的电脑的IP地址的数据包。路由器收到数据以后,就会把它转
发出去。
要强制电脑把本来直接发送的数据发给路由器,可以从ARP协议上下手,也可以从判
断是否同一网段的过程下手。
使用ARP的方法如下:
1、使用arp -a命令查看已知的MAC列表。因为目前VLAN里只有网关和本身,所以这
里只显示网关的MAC地址:
Internet Address Physical Address Type
10.145.254.1 00-d0-04-14-af-fc dynamic
2、使用arp -s命令把要与之通信的电脑的IP地址和网关的MAC地址强行捆绑。这样
,这台电脑就会把发给对方的数据发给路由器。对方的机器也要运行这个命令,不
过IP地址要指定为这一台。比如10.145.254.a和10.145.254.b通信,要在10.145.2
54.a上运行arp -s 10.145.254.b 00-d0-04-14-af-fc ,而在10.145.254.b上运行
arp -s 10.145.254.a 00-d0-04-14-af-fc。
经过这样的设置,电脑还以为自己在直接发送数据,而路由器以为自己收到了需要
路由的数据包。这其实是一种ARP欺骗技术。
使用同子网判断的方法如下:
双方使用route命令,建立一条“主机路由”。所谓主机路由,就是针对一台电脑而
不是一个IP网段的路由项目,其目标掩码为255.255.255.255。
在10.145.254.a上运行route ADD 10.145.254.b MASK 255.255.255.255 10.145.
254.1 ,在10.145.254.b上运行route ADD 10.145.254.a MASK 255.255.255.255
10.145.254.1即可。根据路由的最长匹配原则,电脑在发送数据时会选择掩码里1
比较多的那一项,也就是主机路由(32位掩码),而不会认为对方和自己同一子网
(24位掩码)。
使用以上两种方法,就可以突破VLAN的限制了。除了CS的LAN Gane还不能正常运行
(Internet Game正常)以外,其他软件均运行正常
1841
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
