橋接虛擬局域網(wǎng)和真實(shí)局域網(wǎng)到同一網(wǎng)段原理分析
2020-10-21 19:18:14
供稿:網(wǎng)友
接上一篇文章《虛擬局域網(wǎng)》。
虛擬局域網(wǎng)底層”物理鏈路“,其實(shí)就是建立在真實(shí)網(wǎng)卡TCP/UDP協(xié)議上,
通過UDP來轉(zhuǎn)發(fā)虛擬網(wǎng)卡產(chǎn)生的以太網(wǎng)卡數(shù)據(jù)包,
而上層的應(yīng)用程序看到的,就跟在一個(gè)真實(shí)的網(wǎng)絡(luò)里通訊一樣。
但是虛擬局域網(wǎng)也就只局限于在本網(wǎng)絡(luò)里通訊,等于是一個(gè)封閉的網(wǎng)絡(luò)一樣。
他們要跟真實(shí)局域網(wǎng)建立聯(lián)系,該怎么做呢,上篇文章說道可以借助NAT,
也可以借助路由讓不同網(wǎng)段的虛擬網(wǎng)絡(luò)和真實(shí)網(wǎng)絡(luò)建立聯(lián)系(至于這個(gè)功能暫時(shí)還沒折騰出來),
還有就是橋接,讓虛擬局域網(wǎng)和真實(shí)物理網(wǎng)絡(luò)處于同一個(gè)網(wǎng)段,
熟悉VMWARE虛擬機(jī),就應(yīng)該明白什么是橋接功能了。
vmware網(wǎng)絡(luò)設(shè)置里首先要綁定到一塊真實(shí)的網(wǎng)卡,接著才能使用橋接功能。
這種橋接,讓vmware虛擬機(jī)里的操作系統(tǒng)就跟局域網(wǎng)里的一臺(tái)真正的機(jī)器一樣,有獨(dú)立IP地址,能被其他機(jī)器訪問到。
看那起來是很神奇的功能,其實(shí)明白了原理,相信大部分熟悉程序開發(fā)的人都能自己實(shí)現(xiàn)
(即使不懂驅(qū)動(dòng),也能利用現(xiàn)成的抓包開發(fā)包比如WinPcap來實(shí)現(xiàn)),
這個(gè)原理簡單的說,就是把這個(gè)被綁定的網(wǎng)卡,看作是一個(gè)具有多個(gè)IP地址的網(wǎng)卡,
每個(gè)IP地址分配給不同的虛擬機(jī)器。
以vmware舉個(gè)容易明白的例子,
假設(shè)一臺(tái)電腦,處于網(wǎng)段192.168.100.XX的局域網(wǎng)中,其物理網(wǎng)卡PC-CARD, 它的IP地址是192.168.100.2,
這臺(tái)電腦上裝有vmware,vmware裝有另外一個(gè)操作系統(tǒng),設(shè)置vmware為橋接模式,并且綁定到物理網(wǎng)卡PC-CARD上,
vmware里裝的操作系統(tǒng)IP地址假設(shè)是 192.168.100.3,
局域網(wǎng)中的其他機(jī)器,比如192.168.100.4是如何訪問到192.168.100.3的呢?
局域網(wǎng)絕大部分都是以太網(wǎng)標(biāo)準(zhǔn),依靠MAC地址來識(shí)別以太網(wǎng)數(shù)據(jù)包的地址, 其實(shí)所有數(shù)據(jù)包都被發(fā)送到PC-CARD網(wǎng)卡,
vmware在NDIS協(xié)議驅(qū)動(dòng)層開發(fā)一個(gè)驅(qū)動(dòng)程序,截獲他所感興趣的數(shù)據(jù)包,這里是ip地址192.168.100.3的數(shù)據(jù)包,
并發(fā)送到應(yīng)用層,并且修改目標(biāo)MAC地址為虛擬機(jī)里操作系統(tǒng)的網(wǎng)卡地址,發(fā)送到vmware里,
虛擬機(jī)里的操作系統(tǒng)發(fā)送回應(yīng)包給用戶程序,修改源MAC地址為PC-CARD的地址,
vmware的協(xié)議驅(qū)動(dòng)再發(fā)送給網(wǎng)卡,這樣,192.168.100.4的機(jī)器就能接收到虛擬機(jī)里操作系統(tǒng)的數(shù)據(jù)包。
而192.168.100.4的機(jī)器一直以為是在跟PC-CARD的另一個(gè)IP地址192.168.100.3通訊。
現(xiàn)在要說的是,在vmware功能基礎(chǔ)上,
擴(kuò)展成來自不同地方的虛擬局域網(wǎng)和物理局域網(wǎng)合并成一個(gè)網(wǎng)段,互相無障礙的通訊。
主要的通訊結(jié)構(gòu)還是《虛擬局域網(wǎng)》里所描述的:
一個(gè)公網(wǎng)服務(wù)器負(fù)責(zé)轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)包,其他的虛擬局域網(wǎng)客戶端連接到這個(gè)公網(wǎng)服務(wù)器,
某個(gè)想把自己所在的物理局域網(wǎng)的機(jī)器都給共享出來,他的橋接驅(qū)動(dòng)客戶端也同樣連接到這個(gè)公網(wǎng)服務(wù)器。
同時(shí)需要把所有虛擬網(wǎng)卡的網(wǎng)段設(shè)置成這個(gè)物理局域網(wǎng)的網(wǎng)段,這樣才能正常通訊。
首先開發(fā)NDIS協(xié)議驅(qū)動(dòng)程序,抓取網(wǎng)卡發(fā)送和接收的數(shù)據(jù)包,
如果不懂驅(qū)動(dòng),完全可以利用現(xiàn)成的WinPcap來截獲數(shù)據(jù)包。
在協(xié)議驅(qū)動(dòng)中設(shè)置包過濾原則為所有本地包,這樣從本網(wǎng)卡發(fā)送出去的和接收到的包括廣播組播包就會(huì)截獲到,
再通過一個(gè)功能設(shè)備,發(fā)送給應(yīng)用程序。協(xié)議驅(qū)動(dòng)還應(yīng)該具備從應(yīng)用層發(fā)送以太網(wǎng)數(shù)據(jù)包到網(wǎng)卡的接口。
驅(qū)動(dòng)部分基本上就做這么多事情,驅(qū)動(dòng)的功能完全可以利用WinPcap替代,因?yàn)閃inPcap的底層就是個(gè)NDIS協(xié)議驅(qū)動(dòng)。
主要的工作在應(yīng)用層部分,
程序首先綁定到某塊網(wǎng)卡,同時(shí)獲得這塊網(wǎng)卡的MAC地址和它的所有IP地址。
在應(yīng)用層接收到驅(qū)動(dòng)發(fā)來的數(shù)據(jù)包,需要進(jìn)一步過濾。過濾原則如下:
1),如果是廣播包或者組播包,接收,同時(shí)不需要修改數(shù)據(jù)包的目標(biāo)MAC地址。
2),如果數(shù)據(jù)包的目標(biāo)MAC地址不是本網(wǎng)卡的MAC地址,丟棄。
3),如果數(shù)據(jù)包目標(biāo)MAC地址等于本網(wǎng)卡的MAC地址,分析數(shù)據(jù)包類型,保留ARP,RARP和IP類型的數(shù)據(jù)包,
其他類型的數(shù)據(jù)包丟棄,
4),在3)的基礎(chǔ)上,進(jìn)一步分析數(shù)據(jù)包,取出發(fā)送的目標(biāo)IP地址,如果是發(fā)給本網(wǎng)卡的,丟棄,否則接收。
5),在4)的基礎(chǔ)上,修改數(shù)據(jù)包的目標(biāo)MAC地址為真正發(fā)送目的地MAC地址
(至于如何修改,可先事先商量好目標(biāo)IP地址和目標(biāo)MAC地址的對(duì)應(yīng)關(guān)系。
我是采用動(dòng)態(tài)辦法:從公網(wǎng)服務(wù)器接收的以太網(wǎng)數(shù)據(jù)包,緩存它的源MAC地址和IP地址對(duì)應(yīng)關(guān)系。)
過濾成功的數(shù)據(jù)包,發(fā)送到公網(wǎng)服務(wù)器上去轉(zhuǎn)發(fā)。
從公網(wǎng)服務(wù)器接收數(shù)據(jù)包,接收到的數(shù)據(jù)包首先緩存他的源MAC地址和IP地址的對(duì)應(yīng)關(guān)系,作為上邊第5點(diǎn)的過濾條件。
接著修改數(shù)據(jù)包的源MAC地址為本網(wǎng)卡的MAC地址,為何要如此做,是因?yàn)樵谶@個(gè)物理局域網(wǎng)網(wǎng)絡(luò)中,是靠MAC地址
尋址的,如果不修改,物理局域網(wǎng)的其他機(jī)器就不知道該發(fā)給誰。
如上所說,整個(gè)橋接客戶端的核心功能就已經(jīng)實(shí)現(xiàn)。
