啊~~~
恍然大悟啊!
原來我完全忘記了 VLAN 就是 Virtual LAN ....
對對對...
因為實際上 Virtual LAN 會把特定的 slot 切割成 group
不同group 並不會受到 干擾, 實際上只有 router 知道如何去走正確的路徑
不過這樣一來 雖然 VLAN switch hub 只有一台, 但是每個 group 都得要有自己的 router 了...
感謝指教
個人積分:38分
文章編號:8034379
個人積分:47分
文章編號:8035082
LazyCool wrote:
雖然說斷人家網路很沒...(恕刪)
其實加個頻寬管理器就好了 有的router很陽春沒有流量管理的功能
有這種功能的則是要看他的頻寬管理能做到怎樣的地步
以我幫uncle裝的coraga(有點忘了是不是這樣拼
)這台來說 它的頻寬管理是限制IP流量,也就是每個user的上傳下載都可以設定。這種的話看似不錯,其實沒辦法解決動物機的問題,因為router也會分給它一個ip,然後頻寬也被迫分它。現在比較新的是分析封包的頻寬管理器,他會針對封包特徵去判斷該封包的用途。一旦發現是管制軟體就把該封包打回票或是放行。(例如公司禁止msn或是p2p就有可能是用這種技術) 不過擋p2p沒話說..擋MSN就有點太不合人性了...好加在有MSN online
..這款是manly的BM2000 其中的L7name就是要放行/封鎖的軟體 而這個列表是依據一個組織發佈的軟體封包特徵在做更新
這組織的名字我忘了 = =
所以簡單的說 用頻寬管理器就可以解決用戶端分接用來養動物的問題~
個人積分:47分
文章編號:8036391
Purr wrote:
對不起 我還...(恕刪)
您提到的"不知道目標mac是誰所以只好廣播出去"這個應該是一般的HUB
因為switch裡面有arp table記錄著它下面設備的mac
這樣封包一進來就可以直接send到目標mac
如果是普通的HUB....它就會port1~X全都瘋狂廣播 = = 所以這個效率太差 現在想買可能還買不到
小弟又粗略的畫了兩張圖來解釋VLAN switch運作流程
另外說到
"不過這樣一來 雖然 VLAN switch hub 只有一台, 但是每個 group 都得要有自己的 router 了..."
並不用每個group都用一台router阿
找個Router內建VLAN並且有頻寬管理(QOS)功能的就好啦 這也是下一篇文章要寫的內容
另外謝謝caf677大大的熱心講解
謝謝樓下的大大點出了圖片的問題 我上面這兩張圖有的細節沒考慮好就畫了 請純粹當作觀察"運作方式"就好 真正在規劃的時候請別照圖規劃
個人積分:0分
文章編號:8036892
ip不可能在連號(切vlan會浪費掉兩個ip,一前一後),所以圖上的PC應該不可能是連續的ip,而且你的子網遮罩也會
因vlan的大小而有所差別...當然可能是我沒玩過你的設備,所以說錯..也請海涵...
題外話:如果要像圖中一台電腦要規劃一個vlan,這有點不太合實際..那一些大單位..100-1000台Pc..這樣會設定到死...
所有生物都只為生存而奮戰,只有人類為慾望.自私而傷人
個人積分:38分
文章編號:8038858
felaray wrote:
您提到的"不知道...(恕刪)
嗯~~
不好意思,跟大大再請教一下
a) switch hub 剛開機的時候,實際上並沒有任何 table 紀錄用來批配 mac
也就是說 每個 slot 插著誰, switch hub 這時候並不清楚
b) 再 timeout 之後, 批配的 table 是允許變更的,
為什麼會這樣的設計呢, 是因為要考慮到 使用者可能把線 換了插槽
除非規定使用者每次換插曹都重新啟動 switch hub
我所認知的, 不論是否為一個 VLAN, 上述的行為 應該不會因為是不是支援 VLAN 而受到影響
假如 1 個 8 port 的 switch hub, 切作兩個 VLAN group A 和 B
那 group A 裡面的廣播, 所有 A 的插曹還是要廣播, 除非不符合上述條件 (有 table 且未過期)
但是隸屬於 group B 則不論上述規則存在否, 皆不會收到任何封包
---
有關 router 是不是每個 VLAN 中都要有, 您說得沒錯, 如果 switch hub 本身就兼具有 router 功能的話
的確每個 group 不用再有 router
(嘉義市基x教醫院的 伺服器就是六張網卡 作為 router 與 VLAN, 但所有跨 VLAN 的封包就必須透過伺服器轉向到正確的 port 去)
(現在是不是還是這樣作 我不清楚)
但是如果是 中階 switch hub 可分 group, 但不具備 router 的話
group 與 group 之間, 並無法傳送封包, 這樣說應該沒錯吧?
以剛剛 group A, B 為例
如果 group A 中有有人想送封包到 mac 00-11-22-33-44-55
但是, 實際上 mac 00-11-22-33-44-55 插在 group B 中
這樣的話這個封包還是無法收到的
必須轉換成該 group A 中的 router A 去收, router A 送給 router B
router B 再把 destination 填入 00-11-22-33-44-55 送到正確的 port 去
我印象中是這樣, 對嗎?
感謝大大的指教唷
個人積分:47分
文章編號:8045342
Purr wrote:
再 timeout 之後, 批配的 table 是允許變更的,
MAC table其實時常在renew
這部份不管是一般switch或是vlan switch都是一樣的沒錯 (這也是因為會一直renew 而導致沒防護的系統被ARP attack有機可趁的因素 所以一開始的文章才會說要去把mac和ip綁住,免的沒綁住一下子就被竄改了)
vlan在本文的目的是用來阻絕攻擊封包影響到其他用戶端(這樣其他用戶就不會被誤導而連不上router),而Router的部份綁住MAC table以免封包被錯誤的table誤導而丟不到目的端。 ps.因為arp攻擊是對兩方都產生影響的
有人可能覺得用一般的switch就好,其他部分用Router綁住mac table就不怕。但是這樣一來,是可以讓Router傳送封包到目的端沒錯,但是目的端則會因為switch沒切割各用戶而被竄改table導致無法傳送封包到正確的目的。
以下是一章介紹vlan串接的示意圖
簡單的說 透過這種方式 只要一台router就好
router下面放vlan的目的是在於讓兩個網路依舊維持不通的狀態
而router剩下來沒接VLAN的port就不用它了 (因為接上去的話兩邊封包又可以互相傳送了 這樣vlan形同虛設)
另外想要讓vlan切割出來的兩邊能夠互相傳輸 這樣不如不要用vlan....
以上有錯請指教
===
圖片好像不是很清楚 可以看相簿
相簿
個人積分:38分
文章編號:8057688
個人積分:37分
文章編號:8058564
YAWPYNG wrote:
請教一下felara...(恕刪)
你提到的dhcp 被用光有可能是網路上有惡意的機器, 或有不正確的Proxy Arp 設定.
當你的dhcp Server的ip被用光時, 如果你的DHCP Server是Windows DHCP Server.
你可看一下是否很多都被標記為 "Bad Address", 如果是那就對了
在arp的封包裡還有個特殊用途, 用來檢查網路上是否有人跟你的IP是相同的
基本上是來源 "自己的MAC"+"自己的ip", 目的地"FFFFFFFFFFFF+ 自己的MAC"
如果有人回覆就代表網路上有人跟你IP一樣.
這時機器就會告訴DHCP你給我一個有人用的, 請再給我一個.
DHCP Server 就會將原先的ip 作個"Bad Address"的註記, 以免再發給別人
並再找一個IP給要求者....已此循環下去你的dhcp Server的ip就被用光了!
因此壞人就是那個回復 arp的人, 所以只要找到那個回復Arp的機器.
如果你會用Sniffer之類的工具就好辦了! 如果不會也有笨方法可查- 下次在說!
個人積分:618分
文章編號:8058930
個人積分:994分
文章編號:8059216
關閉廣告