VLAN是網絡交換機的一種技術,可以把不同的電腦劃分在不同的網絡中����,使其不能互相通信�����,以達到提高安全性和網絡性能的目的���。要跨越VLAN通信�,必須借助路由器或者3層交換模塊。
我市的ADSL網在接入層使用了Cisco的Catalyst6509型三層交換機��,在端口上設置了VLAN�����,把同一ip段的用戶相互隔開�。這樣一來���,安全性倒是高了���,可惜平時打游戲�、共享文件都不方便�,需要通過其他IP段的朋友中轉。于是突破VLAN成了當務之急。
我所在的段,IP地址為10.145.254.x,網關為10.145.254.1,采用24位的掩碼���。因為是同一IP段,所以電腦不會自動通過路由器轉發數據�,而妄想通過直接通信的方式聯絡對方電腦�。在VLAN環境下,ARP是收不到回應的,因此直接通信也就被禁止了��。
要想實現互通���,必須強制電腦把數據發給路由器��。
大家知道��,路由器判定一個數據包是否應該轉發,是以其2層地址和3層地址為依據的�。假如該數據包的目標MAC地址不是路由器接口的MAC地址�,那么這個包根本不是給路由器的����,而是HUB產生的1層廣播包;假如目標MAC地址與路由器接口的MAC地址相同���,但目標IP地址并不是路由器接口的IP地址,這個包就應該被路由出去��;假如目標MAC地址和IP地址都與路由器接口相匹配�����,那這個數據包是發給路由器本身的�����。
電腦在發送數據時��,先判定目標和自己是否在同一IP網段�。假如在同一網段���,則發送ARP請求�,查詢對方的MAC地址,然后封包發送����;假如不在同一IP網段����,則發送數據包�����,并把包頭中目標MAC地址設置為本子網的路由器接口的MAC地址���,而目標IP地址則是最終接收數據的電腦的IP地址的數據包����。路由器收到數據以后���,就會把它轉發出去��。
要強制電腦把本來直接發送的數據發給路由器���,可以從ARP協議上下手�����,也可以從判定是否同一網段的過程下手����。
使用ARP的方法如下:
1、使用arp -a命令查看已知的MAC列表��。因為目前VLAN里只有網關和本身��,所以這里只顯示網關的MAC地址:
Internet Address Physical Address Type
10.145.254.1 00-d0-04-14-af-fc dynamic
2��、使用arp -s命令把要與之通信的電腦的IP地址和網關的MAC地址強行捆綁。這樣���,這臺電腦就會把發給對方的數據發給路由器。對方的機器也要運行這個命令���,不過IP地址要指定為這一臺����。比如10.145.254.a和10.145.254.b通信����,要在10.145.254.a上運行arp -s 10.145.254.b 00-d0-04-14-af-fc ,而在10.145.254.b上運行arp -s 10.145.254.a 00-d0-04-14-af-fc
經過這樣的設置��,電腦還以為自己在直接發送數據���,而路由器以為自己收到了需要路由的數據包�����。這其實是一種ARP欺騙技術����。
使用同子網判定的方法如下:
雙方使用route命令�����,建立一條“主機路由”。所謂主機路由����,就是針對一臺電腦而不是一個IP網段的路由項目��,其目標掩碼為255.255.255.255。
在10.145.254.a上運行route ADD 10.145.254.b MASK 255.255.255.255 10.145.254.1 ���,在10.145.254.b上運行route ADD 10.145.254.a MASK 255.255.255.255 10.145.254.1即可。根據路由的最長匹配原則���,電腦在發送數據時會選擇掩碼里1比較多的那一項,也就是主機路由(32位掩碼)��,而不會認為對方和自己同一子網(24位掩碼)��。
使用以上兩種方法����,就可以突破VLAN的限制了����。除了CS的LAN Gane還不能正常運行(Internet Game正常)以外,其他軟件均運行正常�。
