基于eNSP的网络分析

这里我们主要是利用eNSP工具去看看通过vlan划分广播域，跨网段下的主机之间的通讯以及同一网段下的主机的通讯的实现，当然其实也就是知识的搬运工..

先简单的介绍下eNSP这个工具其实就是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台，主要对企业网络路由器、交换机进行软件仿真，完美呈现真实设备实景，支持大型网络模拟，让广大用户有机会在没有真实设备的情况下能够模拟演练，学习网络技术

再来看下VLAN划分广播域的技术， VLAN（Virtual Local Area Network）即虚拟局域网，是将一个物理的局域网在逻辑上划分成多个广播域的技术。通过在交换机上配置VLAN，可以实现在同一个VLAN内的用户可以进行二层互访，而不同VLAN间的用户被二层隔离。这样既能够隔离广播域，又能够提升网络的安全性

VLAN划分是在二层，一个VLAN就存在一个广播域，主机之间通信是通过MAC地址来实现的，会发送ARP报文来寻找主机。若在一个大的广播域，造成ARP攻击影响的范围变大，划分VLAN之后，形成多个小的广播域，影响范围缩小

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

如果主机都在同一个VLAN下，那么所有主机会处在同一个广播域下，任意一台主机发送广播报文就传送到整个广播域，占用带宽，严重的会引起广播风暴。划分VLAN后，影响减少

VLAN技术可以将一个物理局域网在逻辑上划分成多个广播域，也就是多个VLAN。VLAN技术部署在数据链路层，用于隔离二层流量。同一个VLAN内的主机共享同一个广播域，它们之间可以直接进行二层通信。而VLAN间的主机属于不同的广播域，不能直接实现二层互通。这样，广播报文就被限制在各个相应的VLAN内，同时也提高了网络安全性，如果划分VLAN1和VLAN2VLAN内部的主机可以直接在二层互相通信，VLAN1和VLAN2之间的主机无法直接实现二层通信

下面我们去看看使用eNSP工具制作的模型，4个PC机、1个交换机LSW2这个交换机是S5700-28C-HI类型的

然后其实一个广播域当中的主机之间通信是通过MAC地址来实现的，会发送ARP报文来寻找主机，因为我们只知道对方的IP地址，所以我们需要通过ARP协议去通过IP地址去获取MAC地址，主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机，并接收返回消息

我们先让PC2主机去ping PC1主机的ip地址

之后主机P2给P1发送了ICMP报文，ICMP协议用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息

下面就简单的介绍下如何在eNSP工具当中去划分vlan

• 1、进入系统视图：system-view
• 2、创建vlan使用vlan 10和vlan 20
• 3、然后进入接口视图interface g0/0/1(表示的是以太网接口)
• 4、然后输入port link-type access 和 port default vlan 10，表示将端口加进VLAN需要，每个端口只能属于一个VLAN，其中的access表示的就是access端口，access端口为交换机与VLAN域中主机相连的端口,port link-type命令用来设置以太网端口的链路类型
• 5、查看vlan划分情况就是display vlan

由于不同的vlan中的主机是不能直接通信的，所以我们需要通过网关进行通信，我们这里的网关因为我们是跨子网传输，数据包都交给缺省网关处理，网关就是一个网络连接到另一个网络的“关口”。也就是网络关卡

下面简单讲下关于网关的配置

连接两个不同的网络的设备都可以叫网关设备；网关的作用就是实现两个网络之间进行通讯与控制，网关设备可以是 交互机（三层及以上才能跨网络）、路由器、启用了路由协议的服务器、代理服务器、防火墙等，网关地址就是网关设备的IP地址

接下来我们去设置vlan接口也就是设置网关

• 1、输入interface vlan 10
• 2、输入ip address 192.168.1.254 24
• 3、我们通过display ip routing-table可以去查看路由表的内容

交换机内部的CPU会在每个端口成功连接时，通过将MAC地址和端口对应，形成一张MAC表。在今后的通讯中，发往该MAC地址的数据包将仅送往其对应的端口，而不是所有的端口

下面为查看路由表的内容，其中下面的192.168.1.0/24中其中24表示的是子网掩码就是255.255.255.0，然后其中的192.168.1.0表示从0到255的机器发送的消息经过交换机的路由表解析都可以定向到IP地址为192.168.1.254到这个网关之后我再去解析，然后解析发送到另一个vlan也就是虚拟局域网的网关，然后再发送到其的主机

还有一个技巧就是在我们点开交换机的命令行窗口的时候有的时候可能会出现些系统日志输出出来，我们可以使用undo info-center enable去关闭它的输出，比如类似下面的日志输出