BlogJava-当Johnica遇上Java-随笔分类-网络工程

sniffer pro 安装说明

Johnica — Sat, 07 Oct 2006 17:15:00 GMT

准备条件：
1.win2000或win2003 sp1或者winxp sp2版本（否则，仪表没显示）
2.安装jre（对微软来说是JVM，注：sniffer pro sp5自带有jre1.3所以不用装jre）

安装环境：（分两种）
1.可以安装在内部网络与外部网络通信的中间位置，如代理服务器
2.安装到笔记本电脑上，当哪个网段出现问题的时候，直接带着该笔记本连接到交换机或路由器上，就可以检测到网络故障，非常方便

对于第二种环境，假如要捕获到局域网与外部网络间传输的数据。就将交换机上对外连接的端口跟笔记本连接的端口进行端口映射。

Johnica 2006-10-08 01:15 发表评论

搞网络的一定要提高地位，不然累死

Johnica — Thu, 05 Oct 2006 17:57:00 GMT

先自我介绍一下！我叫范伟导，这是我的邮件，我现在没有工作（同学们：自由职业者）可以这么说。介绍一下我的经历：毕业后我在一个台资电脑厂工作了一年，做硬件的。后来到了日本三洋工作，作X400的软件开发，做ERP，用RPG开发，做了4年后来到了神州数码，作CISCO网络，原来在技术中心做实施，后来在培训中心做讲师，一共做了5年。现在我是CISCO和Sniffer的授权讲师，不过现在我不想做CISCO了，想做Sniffer，因为我觉得网络分析是一个很好的技术方向。等一下我还会跟大家聊一聊我们该往哪一个方向发展。先看一下我们这个课程，这个课程事实上是两门课，第一门我们介绍怎样用Sniffer来做网络故障诊断，还有网络管理的一些方法和思路，第二门课我们介绍如何做应用的分析，这是Sniffer的新课程，我个人觉得非常好，以前的几个班学员也很喜欢。第一门课我们会讲3天，第二门课我们会讲2天。接下来的半个小时我们不讲书本知识，讲讲我的经历和Sniffer究竟能用来做什么，我们为什么要学Sniffer，其实我的目的是提起大家的学习兴趣，大家愿意学，我才讲的起劲。要不我一边讲，大家在噼噼啪啪上网，那我就讲不下去了（同学们笑）。大家做网络都很多年了，想想我们以前的10兆以太网，现在的万兆以太网，想想14.4k的modem,现在的2M宽带，以前的x25,桢中继，现在的SDH,MSTP,裸光纤。大家都经历这些，但我们才工作几年？就这几年，变化这么大，我不知道大家的工资有没有变化这么大,(同学们大笑），从10兆到万兆，1000倍，几年工资张1000倍。有点难（同学们：不是有点难，是很难，不可能）。再看看我们工作的变化，以前能配配路由器就很牛了，现在似乎谁都会了，记得几年前，我帮一个小集成商配一台4000系列交换机，收了2000元，15分钟搞定。（同学们：好爽，介绍一些给我们做），没有了说说你们的工作。平常工作中做些什么（同学们：做做网线，杀病毒，帮领导装机器）大家想想，这是我们想做的工作吗，以前这些都不用我们做，现在大家感觉是不是地位在下降，工资也不涨，好歹我们也是蜘蛛级的人物呀，不是有个笑话说蜜蜂是空姐，做网络的是蜘蛛吗。（同学们笑）我们该怎么办? 现在说说我的观点，我们都希望工资能年年涨，不要求1000倍，（同学们：不要求那么高，一年20%就行了）， 20%？不止吧，从毕业到现在，你们工资不止年均涨不止20%吧。（同学们：我们不能跟您比）也有可能，你们的起点高，我毕业的时候才有650元。大家回顾一下，做IT的谁的收入高？ 1、销售 2、领导 3、咨询专家 4、售前工程师 5、售后工程师我们在座的有3个是网络中心的主任或科长，他们的收入肯定比一般工程师高，我祝愿你们步步高升，收入节节高。在座大多数是网络工程师，我们该怎么走，其实你们现在的单位都很好，但将来怎样很难知道，比如前几年银行的收入令人羡慕，现在他们却担心降工资，现在移动的收入不错吧，我有汽车厂商的学员，他告诉我他们的收入比移动好点，（同学们：哇）这是他们自己说的，好多少就没说了，还有某政府单位的，什么单位不便说，他们没告诉我他们的收入，只说，价格少于4万的笔记本他们不用，哇靠，4万的笔记本，什么配置？（同学们：那是服务器）我们不能比，人比人，气死人。我们没法进入这些公司的，还是脚踏实地一点好，但我们做技术的也要考虑如何提高我们的收入，做技术的要提高收入，地位是关键，前面大家说只做做线，杀杀病毒，我们的地位在下降，工资怎么长得起来呢？想想我们做技术的，谁的收入高，做数据库的比做服务器的高，为什么Oracle那么火，做服务器的比写程序的高，写程序的比做网络高，这是普遍现象，不说特殊情况。其实大家发现一个特点没有，凡是掌握企业关键业务的收入都很高，你看作数据库的，数据库坏了，企业完蛋了，领导当然重视，现在不仅讲存储，还讲灾备，你看很多银行，北京一个数据中心，上海一个数据中心。我们网络怎样，设计的都是高可靠性的端到端备份，出问题的机会很少，而当应用出什么问题，都说是网络问题。举个例子，有个单位（税务的学员告诉我的），有一天应用突然变慢，大家都说网络慢了，我们用尽troubleshooting的技术也发现不了问题，结果作数据库的工程师偷偷改一下表空间，好了，没问题了，我们不知道怎么好了，做数据库的不说他们有问题，还说网络好了，领导问我网络怎么好的，我不知道呀，领导说：赶快查出原因，避免再出现类似问题，哇塞，怎么查，本来网络就没问题，查什么查。（同学们笑）所以现在大家用一个字来形容我们的工作？你们会用什么字（同学们：累、苦）很贴切，苦、累所以我们不能一直停留在网络的troubleshooting,我们必须提高我们的地位，要不我们会累死。...

Johnica 2006-10-06 01:57 发表评论

深入了解基于标记的802.1Q的交换机处理数据帧的转发机制

Johnica — Sun, 24 Sep 2006 16:18:00 GMT

请教一个问题
一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC
数据包发生了怎么样的变化,很是迷惑,赐教！

郑璐老师:

Tag 为IEEE802.1Q协议定义的VLAN的标记在数据帧中的标示；
ACCESS端口，TRUNK端口是厂家对某一种端口的叫法，并非IEEE802.1Q协议的标准定义；

这个数据交换的过程比较复杂，如果想解释的话，首先要了解一下 几个IEEE802.1Q协议的定理 ；
1 、下面是定义的各种端口类型对各种数据帧的处理方法 ；

              Tagged 数据帧   Tagged数据帧     Untagged数据帧         Untagged数据帧
                 in     out in out
Tagged端口     原样接收     原样发送按端口PVID打TAG标记    按照PVID打TAG标记
Untagged端口    丢弃    去掉TAG标记按端口PVID打TAG标记    原样发送

2 、所谓的Untagged Port和tagged Port不是讲述物理端口的状态，而是将是物理端口所拥有的某一个VID的状态，所以一个物理端口可以在某一个VID上是Untagged Port，在另一个VID上是tagged Port；

3 、一个物理端口只能拥有一个PVID，当一个物理端口拥有了一个PVID的时候，必定会拥有和PVID的TAG等同的VID，而且在这个VID上，这个物理端口必定是Untagged Port；

4 、PVID的作用只是在交换机从外部接受到可以接受Untagged 数据帧的时候给数据帧添加TAG标记用的，在交换机内部转发数据的时候PVID不起任何作用；

5 、拥有和TAG标记一致的VID的物理端口，不论是否在这个VID上是Untagged Port或者tagged Port，都可以接受来自交换机内部的标记了这个TAG标记的tagged 数据帧；

6、拥有和TAG标记一致的VID的物理端口，只有在这个VID上是tagged Port，才可以接受来自交换机外部的标记了这个TAG标记的tagged 数据帧；

以下是神州数码对命令的定义（各个厂家对命令的定义可能不一定一致，但是都必须遵循上面的定理）：

1、Trunk端口就是在一个物理端口上增加这个交换机所有VLAN的VID标示，并且除了和这个物理端口PVID标示一致的VID标示为Untagged Port外，在其他的VID上都是Tagged Port；

2、Access端口就是指拥有一个和PVID标记相同的VID的物理端口，在这个VID上，遵循定理一定为untagged Port；

在了解了以上的基础理论之后，我们在来看一下楼主的问题：

一个数据包从PC机发出经过ACCESS端口->TRUNK端口->TRunk->ACCESS->PC数据包发生了怎么样的变化？

我们先把上述的描述变换为IEEE802.1Q的标准描述：

一个数据包从PC机发出经过（Untagged 数据帧）

ACCESS端口（PVID定义为100，VID=100=Untagged Port）->

TRUNK端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->

另一个交换机的TRunk端口（PVID定义为1〈出厂配置，没有更改〉，VID=1=Untagged Port，VID=100=tagged Port）->

另一个交换机的ACCESS端口（PVID定义为100，VID=100=Untagged Port）->

PC数据包发生了怎么样的变化？（Untagged 数据帧）

首先假设两台交换机刚刚开机（MAC地址表为空）从PC机发出的数据帧进入交换机的ACCESS端口以后，会按照这个端口的PVID打100的Tag标记，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外），这个过程叫做VLAN Flood；参照上面的定理1；

由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理5；

由于Trunk端口在VID=100上为tagged Port，所以在发送数据帧出交换机的时候，不改变Tagged数据帧的结构；参照上面的定理1；

到了另一个交换机的Trunk端口的时候，由于Trunk端口拥有VID=100，所以才可接受这个标记Tag为100的tagged数据帧；参照上面的定理6；

另一个交换机的Trunk端口，接收到标记tag为100的tagged数据帧，并不作任何的更改；参照上面的定理1；

另一个交换机收到到标记tag为100的tagged数据帧，根据交换机的转发原理，交换机会把这个数据帧转发给VID=100的所有端口（除了进口以外）；参照交换机交换原理（受到一个未知目的MAC数据帧）；

这样另一个交换机的ACCESS端口就可以收到标记tag为100的tagged数据帧；参照上面的定理5；

另一个交换机的ACCESS端口在发出标记tag为100的tagged数据帧的时候，会去掉TAG标记，转发untagged数据帧给PC；参照上面的定理1；

这样PC机就收到了这个数据；

Johnica 2006-09-25 00:18 发表评论

对交换机端口模式的理解

Johnica — Wed, 20 Sep 2006 19:48:00 GMT

接触了一些cisco和3com的交换机,我想说说我对交换机端口模式的理解

思科cisco的multivlan和trunk是可以令一个端口同时属于多个vlan,但multivlan只是在很少交换机(3750)或早期交换机有得配.新版本ios交换机几乎都没有此模式配端口了.
配了trunk就只能是用于交换机之间或者交换机与路由器之间相连.用于交换机与路由器相连时,一般是作Vlan间路由用.而用于交换机之间相连是作交换机间共享VLAN信息用.

华为3com有些交换机就有端口的hybrid属性和trunk属性.也可以令一个端口同时属于多个vlan,但hybrid属性灵活,可以连主机.甚至在实现VLAN间访问控制时挺特别.有关知识请参考华为3com的资料.

multi
Set the port to multi-VLAN port mode. The port operates as a nontrunking VLAN interface that transmits and receives nonencapsulated frames. A multi-VLAN port can be assigned to one or more VLANs.
(multivlan是不加tag的
仅部分交换机支持switchport multi vlan {add vlan-list | remove vlan-list} 也就是表明CISCO不怎么推荐用此模式)

trunk
Set the port to a trunking VLAN Layer-2 interface. The port transmits and receives encapsulated (tagged) frames that identify the VLAN of origination. A trunk is a point-to-point link between two switches or between a switch and a router.

到此对交换机端口的模式(或属性)作了简单介绍.希望对你有些帮助.

Johnica 2006-09-21 03:48 发表评论

ip包,ip数据包,数据包或者包的理解

Johnica — Wed, 20 Sep 2006 04:52:00 GMT

首先看看以下这段话:
路由器把需到达的网络的网络号保存在路由表中，当一个IP数据报被路由器接收到时，路由器先从该IP数据报中取出目的站点的IP地址，根据IP地址计算出目的站点所在网络的网络号，然后用网络号去查找路由表以决定通过哪一个接口（线路）转发该IP数据报。

　　根据TCP/IP协议，路由器的数据包转发具体过程是：网络接口接收数据包，这一步由网络物理层处理，即把经编码调制后的数据信号还原为数据。根据网络物理接口，路由器调用相应的链路层功能模块，以解释处理此数据包的链路协议报头。这一步处理比较简单，主要是对完整性的验证，如CRC校验、帧长度检查。在链路导层完成对数据帧的完整性验证后，路由器开始处理此数据帧的IP层。这一过程是路由器功能的核心。根据数据帧IP包头的目的的IP地址，路由器在路由表中查找下一跳的IP地址，IP数据包头的TTL域开始减数，并计算新校验和（Check-sum）。根据路由表中所查到的下一跳IP地址，将IP数据包送往相应的输出链路层，封装上相应的链路层包头，最后经输出网络物理接口发送出去。

现在来理解:
ip包----网络层的包,有自己的格式
ip数据包-------即ip包
包-------即数据包.通常我们说什么包转发率,掉包等概念,也就是网络设备(如路由器,网卡等)就是针对它来说,也以说是数据包(包含了MAC地址等帧有的信息)
数据包--------这个概念就有时挺模糊了,所以一般不说.即不能说它一定就是ip数据包或帧。

以下结合两个命令例子来说明上面的概念理解：
（1）win2003server里的网络监视器是对网络数据进行分析，可以从网络中获取帧，这些网络数据就可以叫包（包含帧信息），而非ip数据包。

（2）ping命令中参数l英文意思是send buffer size(默认是32即32bytes)，也就是改变发送的数据分组的字节数。例如ping -l 24 www.163.com ，其中24就是发送的ip数据包的长度，而非帧长度。这条命令用于测试与MTU相关的网络故障。（大多数设备为1500，单位是byte，本机MTU小于等于网关的MTU，数据才不会分拆。）

Johnica 2006-09-20 12:52 发表评论

由XP与VMware互联,看虚拟网卡地址分配问题

Johnica — Tue, 12 Sep 2006 06:31:00 GMT

问题:
主机采用XP系统，在该系统中安装VMWARE，之后在VMWARE中安装了2KSERVER。现需要让主机与虚拟机实现互联（即在主机的网上邻居中能看见虚拟机2KSERVER）。我的方法是将主机XP系统中的网卡属性中的TCP/IP中的IP ADRESS 设置为192。168。0。1。再将虚拟网卡中的VMNET8的IP ADRESS 192。168。0。2另一块虚拟网卡被禁用。2。在虚拟2KSERVER中将网卡的IP ADRESS设为192。168。0。3网络采用NAT方式连接。以上方法不能实现主机与虚拟机的互联。请敬分析原因。

分析解决:
主机网卡不能配制成使用192.168.0.1。因为网络采用NAT方式连接时，虚拟机里的网卡与vmnet8接到同一个交换机上，而主机网卡并没有接到该交换机上。（为了更好地理解网络，请参考联机用户手册，host virtual network mapping）。当主机网卡、vmnet8、虚拟机网卡采用同一ip地址段时，由于ms-windows的路由选择策略（涉及到tcp/ip技术），xp会将发往虚拟机的ip数据发送到主机网卡出口，由于主机网卡并没有和虚拟机网卡连接，所以虚拟机就收不到主机的数据，造成通信失败。为了证明我的观点，你可以在主机上执行命令：route add 192.168.0.3 mask 255.255.255.255 192.168.0.2，就能恢复主机和虚拟机的通信。该命令的意思是，将发送到192.168.0.3（虚拟机）的数据从192.168.0.2接口vmnet8）上发送出去。

VMware虚拟网卡地址分配问题:
我们常说的桥接指的是虚拟机里的网卡和主机的真实网卡（或说非vmware虚拟的网卡）相连接。对虚拟机里只配置了一块网卡的情形来说，桥接方式就是要将主机真实网卡和虚拟机里的网卡配置到一个ip段里面。仅主机方式就是将vmnet1和虚拟机里的网卡配置到一个ip段里面，nat方式就是将vmnet8和虚拟机里的网卡配置到一个ip段里面。因为默认情况下vmware的虚拟网卡所在的虚拟网络上存在dhcp服务，主机的真实网卡所在网络上通常没有dhcp服务，所以如果你选用桥接方式的话，虚拟的linux里网络配置要选择指定ip。其他方式可以选择使用dhcp。

要区分虚拟机里面的网卡----vmnet1,vmnet8网卡-----以及真实主机的网卡三者的关系。

以下是引用网上的一篇挺好的文章：
http://www.chinaunix.net/jh/4/376768.html

vmware 网络设置三：理解虚拟网络的类型

bridge：

这种方式最简单，直接将虚拟网卡桥接到一个物理网卡上面，和linux下一个网卡绑定两个不同地址类似，实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。

在此种模式下，虚拟机内部的网卡（例如linux下的eth0)直接连到了物理网卡所在的网络上，可以想象为虚拟机和host机处于对等的地位，在网络关系上是平等的，没有谁在谁后面的问题。

使用这种方式很简单，前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友不太适合，因为你无法对虚拟机的网络进行控制，它直接出去了。

nat方式：

这种方式下host内部出现了一个虚拟的网卡vmnet8（默认情况下），如果你有过做nat服务器的经验，这里的vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet8。

你会发现在这种方式下，vmware自带的dhcp会默认地加载到vmnet8界面上，这样虚拟机就可以使用dhcp服务。更为重要的是，vmware自带了nat服务，提供了从vmnet8到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机用的。

很显然，如果你只有一个外网地址，此种方式很合适。

hostonly:

这应该是最为灵活的方式，有兴趣的话可以进行各种网络实验。和nat唯一的不同的是，此种方式下，没有地址转换服务，因此，模认情况下，虚拟机只能到主机访问，这也是hostonly的名字的意义。

默认情况下，也会有一个dhcp服务加载到vmnet1上。这样连接到vmnet1上的虚拟机仍然可以设置成dhcp，方便系统的配置.

是不是这种方式就没有办法连接到外网呢，当然不是，事实上，这种方式更为灵活，你可以使用自己的方式，从而达到最理想的配置，例如：
a。使用自己dhcp服务：首先停掉vmware自带的dhcp服务，使dhcp服务更为统一。
b。使用自己的nat,方便加入防火墙。windows host可以做nat的方法很多，简单的如windows xp的internet共享，复杂的如windows server里的nat服务。
c. 使用自己的防火墙。因为你可以完全控制vmnet1,你可以加入（或试验）防火墙在vmnet1和外网的网卡间。

从以上可以看出，hostonly这种模式和普通的nat server带整个内网上网的情形类似，因此你可以方便的进行与之有关的实验，比如防火强的设置等。

Johnica 2006-09-12 14:31 发表评论

找arp攻击源

Johnica — Mon, 11 Sep 2006 15:16:00 GMT

对于已经中了arp攻击的内网，要找到攻击源。方法：在PC上不了网或者ping丢包的时候，在DOS下打 arp –a命令，看显示的网关的MAC地址是否和路由器真实的MAC相同。如果不是，则查找这个MAC地址所对应的PC，这台PC就是攻击源。

Johnica 2006-09-11 23:16 发表评论