存在於經典網路架構中的乙個資訊竊取風險
背景:核心交換機和其他idc用三層互聯,和接入交換機執行二層網路。核心交換機執行
vrrp
做本idc
內網閘道器(左邊為主,右邊為備)。現有其他
idc需訪問本
idc內
10.1.1.1
拓撲:
流量走向:
入向流量:
1、目的為10.1.1.1的流量到達右邊核心交換機
2、右邊核心交換機檢視本機mac位址表匹配目標
mac,結果發現查不到,於是在同
vlan
內泛洪此流量
3、同vlan內
10.1.1.1
與10.1.1.2
都收到此流量
出向流量:
4、10.1.1.1查路由表,發現內網閘道器為核心交換機,此時左邊核心交換機為
vrrp
主,故arp
解析將左邊交換機
mac解析為閘道器位址
5、流量交給左邊交換機,左邊交換機根據三層路由表將資料直接傳出去
產生問題:右邊核心通過泛洪將資料報發給了vlan內所有的伺服器,那麼只要拿到這個
vlan
內任意一台伺服器的許可權就可以嗅探到到達此
vlan
的所有包
問題原因:由於回包不經過右邊交換機,所以右邊交換機永遠學不到10.1.1.1的
mac。學不到
mac就要在同
vlan
內泛洪。(單播泛洪)
解決方案:
1、核心交換機做堆疊
2、在交換機無關埠開啟阻塞埠泛洪。(sw(config-if)#switchport block unicast)
3、採用全三層組網結構
單播 組播 廣播和泛洪的區別
1 單播的定義 主機之間 一對一 的通訊模式,網路中的交換機和路由器對資料只進行 不進行複製。如果10個客戶機需要相同的資料,則伺服器需要逐一傳送,重複10次 相同的工作。但由於其能夠針對每個客戶的及時響應,所以現在的網頁瀏覽全部都是採用ip單播協議。網路中的路由器和交換機根據其目標位址選擇傳輸路徑...
MATLAB實現洪氾路由的模擬
matlab實現洪氾路由的模擬,採用dfs演算法,直接上 flooding.m clear clc global ttl ttl 7 設定最大傳輸跳數為7 初始化無線感測網示意圖 感測器節點區域界限 envsize 10 區域內感測器數量 global numofnodes numofnodes 1...
TCP IP 單播路由
自治系統 每個域的路由表都是獨一無二的,因為每個人 路由 要走不同的路,到達目的地。自治系統的區域 點對點鏈路 穿越鏈路 ospf表示 路由器鏈路,四種 r1有兩個鏈路,n1和n2 r2有乙個鏈路,n2 r3有兩個鏈路n2和n3。r1向n1傳送通告,r1 r2 r3向n2傳送通告,r3向n3傳送通告...