[荒城原创]不同网段的主机互通实验

[荒城原创]不同网段的主机互通实验
不同网段的主机互通实验
[荒城原创]
1前言
一般来说，不同网段的主机想要互通，中间需要三层设备来转发，比如路由器。

但是如果没有三层设备，能不能让处在同一个网络（广播域）当中的两台不同IP地址段的主机直接互通呢？答案是肯定的，那么今天我们就来讨论这个话题。

想要让处在同一个广播域但不同IP网段的两台主机互通，一般可以用两种方式：指默认出接口和arp欺骗。

先从简单的做起，我们的第一个实验是通过指默认出接口来实现不同网段的主机直接互通。

2环境准备
2.1实验拓扑
主机名：2003
IP地址：192.168.101.1/24 MAC地址：00-0C-29-33-FD-E3
主机名：2003-64
IP地址：192.168.100.2/24 MAC地址：00-0C-29-91-CB-14
2.2准备实验所需的主机
首先我们要准备至少两台Windows主机，可以通过虚拟机来实现。

虚拟机软件有很多，我用VMware Workstation 8.0来举例说明。

我用了2003和2003-64这两台虚拟机来做本次的实验。

2.3编辑网络桥接方式
有了两台主机后，我们还要把两台主机的网卡用“网线”直接连接起来，由于是虚拟机，我们只要把虚拟机的网卡桥接到真实电脑的同一个物理网卡上，就相当于把它们连接到一个HUB上了。

2.3.1编辑虚拟网络模式
1)打开VMware Workstaion 8.0，点击菜单“Edit－Virtual Network
Editor…”编辑网络参数
2)选中VMnet0，该虚拟网络默认是桥接方式。

我们把它桥接到一
个物理网卡
3)点击OK设置完成设置
2.3.2桥接虚拟机的网卡
完成桥接方式的编辑后，我们还要设置虚拟机的网卡，即把刚才的编辑应用到虚拟机上。

1)右击2003，点击Settings
2)选择Network Adapter，选择Custom，将其设为刚才我们编辑的
VMnet0（也可以直接选择第一项Bridged，但我们选Custom更直观，容易和之前的设置联系起来），注意右上方的Connect at power in打上钩。

3)点击OK，完成设置。

4)再设置另一台虚拟机2003-64，其设置是一样的，要注意的是在
Network Adapter这里的设置一定要和前一台虚拟机的设置一致，即都设置成VMnet0（要么设置成Bridged）。

注意右上方的Connect at power on打上钩。

5)最后启动虚拟机。

2.4测试实验环境的连通性
启动虚拟机后，先将它们设置成同一个IP地址段，不设网关，如果连接正常，那么互相应该是可以ping通的。

这里我们把它们设置成192.168.100.1/24和192.168.100.2/24。

1)虚拟机2003
2)虚拟机2003-64
3)设置完毕后互ping一下
互相能ping通，证明网络设置没问题，两台虚拟机也是直接相连
的（在同一个广播域内）。

3实验一：指默认出接口实现互通3.1实验目的
使用指默认出接口方式来实现让两台处于相同广播域但不同IP 段的主机互通。

3.2实验过程
3.2.1修改IP地址为不同网段并测试连通性
现在将2003的IP地址改成192.168.101.1/24，2003-64保持不变，
让两台主机处在不同的IP网段中。

1)修改2003的IP
2)不能ping通2003-64，提示主机不可达，因为没有路由可走。

3)2003-64的IP地址保持不变，同样无法ping通2003
这个测试证明了在同一个广播域但不同IP网段的两个主机正常情况下的确无法直接通信，因为没有路由可以到达对方。

3.2.2原理说明
上面说到路由，大家可能又有疑惑了，主机还需要路由吗？答案是需要。

只要是运行IP协议的设备，要想找到目的地，唯一的方式就是路由。

为什么之前两台主机在同一个网段的时候就可以ping通，因为两台主机都是在192.168.100.0/24这个网段，从192.168.100.1/24去往192.168.100.2/24时，2003查到192.168.100.2这个主机和自己的网络接口（网卡）是相同网段，所以它直接从这个接口（网卡）发出arp，询问对方的物理地址。

对方收到arp请求后，发现请求arp 的源主机2003和自己的网络接口是在同一个网段，所以自己回应这个arp请求，把自己的物理地址发送给对方，接下来所有的数据包（ping包）都通过这条直连路由发送到对方。

而把2003的地址改成192.168.101.1/24后，两台虚拟机就不在同一个网段内了，这时互相没有去往对方的路由，于是主机提示无路可走（主机不可达）的消息。

我们来看一下两台主机的路由表：
可以看到在2003上只有192.168.101.0/24的直连路由，没有去往192.168.100.0/24的路由，而2003-64上只有192.168.100.0/24而没有192.168.101.0/24的路由，于是两者不能通信。

注意：默认网关其实就是主机的默认路由。

由于我们没有设置网关，所以两台主机都没有默认路由。

3.2.3将网关设为自己网卡的IP地址，再测试连通性1)2003将IP 和网关都设置成192.168.101.1
2)2003-64将IP和网关都设置成192.168.100.2
3)测试连通性
发现已经可以互相ping通了。

3.2.4原理说明
两台主机都把网关设置成了自己网卡的地址，意思是告诉主机这个网卡就是默认的出接口，和我们在路由器里配置默认路由时写出接口是一个意思。

由于两台主机有了默认出接口，这时只要是不知道去哪里的报文就直接从这个接口（网卡）扔出去。

另外一端收到后，由于目标就是自己，所以自己要进行回应，同样从自己的默认出接口发出icmp_echo_reply，于是我们可以看到互相可以ping通。

我们再看一下路由表
我们看到两台主机各多了一条默认路由，这条路由指向的下一跳和出接口就是自己网卡的IP地址。

第一个实验完成。

4实验二：arp欺骗实现互通
4.1实验说明
现在我们再来做一个稍微复杂一点的实验，使用arp欺骗的方式来实验互通。

这里还要使用一个名词“虚拟网关”，注意这个“虚拟网关”区别于FHRP（HSRP、VRRP、GLBP）里的名字“虚拟网关”，但有一个共同点，就是都是不存在的设备。

为了实现这个实验，我们先要收集两台主机的mac地址，然后
通过手工配置静态arp条目的方式对两台主机进行欺骗，达到互通的目的。

“善意的谎言”用到这时再贴切不过了。

4.2实验目的
使用arp欺骗的方式来实现让两台处于相同广播域但不同IP段的主机互通。

4.3实验过程
4.3.1环境准备
还是用上面的实验拓扑，我们先把刚才配置的网关去掉，还原到无法互通的状态。

1)删除网关
2)再测试一下连通性。