突破Cisco传统二层隔离技术

Cisco从基本的2900系列交换机就支持一种二层隔离技术就是在每个接口下面支持一条switchport protected的命令

例如
int f0/0
switchport protected
switchport mo acc
switchport mo acc vlan 2
int f0/1
switchport protected
switchport mo acc
switchport mo acc vlan 2
int f0/2
switchport mo acc
switchport mo acc vlan 2
效果则是f0/2可以可以和f0/0,f0/1接口通讯，但f0/0,f0/1两个接口是无法通讯的。

假设网络结构如下：
Router-switch ｜
| ｜
PC1-PC2 ｜
－－－－－－－－－－
上述全部在一个二层网络，PC1、PC2的网关在Router内部接口上。
PC1 ip 192.168.1.1 default router:1.254
PC2 MAC：A
PC2 IP 192.168.1.2 default router:1.254
PC 2 MAC：B
Router:192.168.1.254
肉特任MAC：C
Switch 上的两个连接PC接口通过上述技术完成了二层隔离。

突破方法
PC1上手写一条32位的主机路由如 route add 192.168.1.2 mask 255.255.255.255 192.168.1.254

原理
这个是我本地PC的router table..默认路由是的metric 10 静态路由器metric为1
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.26.254 192.168.26.120 10
124.238.243.51 255.255.255.255 192.168.5.3 192.168.5.1 1
124.238.243.51 255.255.255.255 192.168.26.122 192.168.26.120 1
125.39.100.0 255.255.255.0 192.168.5.3 192.168.5.1 1
125.39.100.0 255.255.255.0 192.168.26.122 192.168.26.120 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.26.0 255.255.255.0 192.168.26.120 192.168.26.120 10

这时PC1 到 PC 2进行通讯它的数据包格式应该如下：
源IP 192.168.1.1 目IP 192.168.1.2 源MAC A 目MAC C data....因为有静态路由的存在
这个报文在抵达switch时，因为交换机是二层设备识别不了三层信息，那么从二层角度来说这包就是A－C(PC1-router)的通讯，交换机不会阻止。
router接收到这个报文只会检查三层信息不看二层信息。它发现目标192.168.1.2，是属于身后只连路由会会激发ARP过程这个就不说了。
 

路由器再往PC2发送报文的时候数据包格式如下
源IP 192.168.1.1 目IP 192.168.1.2 源MAC C 目MAC B data
交换机还是不看三层信息，只看二层信息，交换机认为是C再和B通讯。C－B之间并没有(switchport protected)。
这个方法相当的鸡肋..前提要求网关一定是要是router，隔离方式一定是switchport protected。

标签分类：