一、集線器（hub）

1、首先在eNSP下配置環境：

2、在PC1執行ping命令

ping192.168.1.2-c3

在抓包點PC3的Ethernet 0/0/1上抓包

3、由上可以看出，集線器可以看作是一根粗網線，它適用CMSA/CD協議，所有報文通過廣播發送。它不劃分沖突域和廣播域，整個集線器就是一個沖突域、廣播域，當PC1發送報文時候，整個網絡被PC1占用，PC2與PC3處于等待狀態，PC1、PC2、PC3共享hub的總帶寬。

二、交換機（switch）

1、在eNSP下配置環境2（點擊下載）

LSW1上執行命令，查看交換機CAM(Content Addressed Memory)表，結果為空。

displaymac-address

2、在LSW1的Ethernet 0/0/3與Ethernet 0/0/2同時抓包，在PC1執行命令

ping192.168.1.22-c3

Ethernet 0/0/3抓包結果

Ethernet 0/0/2抓包結果

3、由此可見，交換機對廣播報文有轉發功能，當某端口收到廣播報文時，交換機會將廣播報文轉發到每一個端口上。因此，整個交換機是一個廣播域，但每個接口劃分一個沖突域，因此每個端口的帶寬和交換機標示帶寬相同。arp中間人攻擊發包過程就是利用這個原理，攻擊者發送arp響應的廣播包，讓交換機每個端口上的設備都能收到響應包，從而對局域網中的所有用戶進行欺騙和監聽。

4、交換機背板帶寬，是交換機接口處理器或接口卡和數據總線所能吞吐的最大數據量。背板帶寬標志了交換機總的數據交換能力，也叫交換帶寬。總帶寬=端口數*相應的端口速率*2（全雙工模式）。如果背板帶寬大于等于總帶寬，背板帶寬就是就是線速帶寬。

5、此時在交換機執行display mac-address查看CAM表，發現交換機已經學習到端口連接設備的mac地址。

[Huawei]displaymac-address MACaddresstableofslot0: ------------------------------------------------------------------------------- MACAddressVLAN/PEVLANCEVLANPortTypeLSP/LSR-ID VSI/SIMAC-Tunnel ------------------------------------------------------------------------------- 5489-985d-6c6a1--Eth0/0/2dynamic0/- 5489-9817-3c651--Eth0/0/1dynamic0/- ------------------------------------------------------------------------------- Totalmatchingitemsonslot0displayed=2

6、二層交換機的工作流程：

(1)當交換機從某個端口收到一個數據包，它先讀取包頭中的源MAC地址，這樣就知道源MAC地址來自哪個端口。

(2)分析數據包所包含的目的MAC地址，并在地址表中查找是否有相對應的端口。

(3)如果在表中查詢到有與這個目的MAC地址對應的端口，把數據包直接復制到這個端口上。

(4)如果未能在表中查到相應的端口，則交換機廣播該數據包；如果網絡內有該目的主機，則對該包進行回應；而交換機記錄該MAC地址對應哪個端口。將來一段時間內，就不需要對此類數據進行廣播了。

(5)不斷重復上述過程，則全網的MAC信息和端口對應關系就可以建立起來。

三、路由器（router）

1、配置環境2

在AR1上執行命令查看路由表

[Huawei]displayiprouting RouteFlags:R-relay,D-downloadtofib ------------------------------------------------------------------------------ RoutingTables:Public Destinations:10Routes:10 Destination/MaskProtoPreCostFlagsNextHopInterface 127.0.0.0/8Direct00D127.0.0.1InLoopBack0 127.0.0.1/32Direct00D127.0.0.1InLoopBack0 127.255.255.255/32Direct00D127.0.0.1InLoopBack0 192.168.1.0/24Direct00D192.168.1.1GigabitEthernet 0/0/0 192.168.1.1/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.1.255/32Direct00D127.0.0.1GigabitEthernet 0/0/0 192.168.2.0/24Direct00D192.168.2.1GigabitEthernet 0/0/1 192.168.2.1/32Direct00D127.0.0.1GigabitEthernet 0/0/1 192.168.2.255/32Direct00D127.0.0.1GigabitEthernet 0/0/1 255.255.255.255/32Direct00D127.0.0.1InLoopBack0

2、在PC1執行命令

PC>ping192.168.2.22-c3 Ping192.168.2.22:32databytes,PressCtrl_Ctobreak Requesttimeout! From192.168.2.22:bytes=32seq=2ttl=127time=78ms From192.168.2.22:bytes=32seq=3ttl=127time=78ms

3、在GE0/0/0和GE0/0/1同時抓包
GE0/0/0抓包結果，mac地址為PC1–>GE0/0/0

GE0/0/1抓包結果，mac地址為GE0/0/1–>PC4

4、由此可見，數據包在經過路由器后，只是改變了源地址到目的地址的mac地址，ip地址則不變，因此，我們在溯源過程中，一般情況下，在HIDS中查看數據報的mac地址并沒有實際意義，其很可能是傳輸過程中的路由器的端口mac地址。

5、路由器還有一個重要功能，其為了應對各種網絡最大數據包大小（如以太網1518字節），對數據包進行“拆打”，即分段和組裝。

6、三層交換機與路由器的區別，路由器是無連接的設備，要對數據包進行“拆打”，導致路由器吞吐量有限，容易形成網絡瓶頸，路由轉發效率要比二層轉發效率低。因此三層交換機出現，彌補這一不足，其既利用了二層轉發高效的優點，又實現了處理三層ip數據包的能力。只對數據包第一個包進行拆包，即路由一次，多次交換。

來源：公眾號【網絡技術干貨圈】

作者：圈圈

ID：wljsghq