1 00:00:00,000 --> 00:00:08,000 Quindi cosa succede se A ora vuole eseguire il ping di un dispositivo remoto in una sottorete separata? 2 00:00:08,000 --> 00:00:11,000 Così ora, ad esempio, A con indirizzo IP 10. 1. 1. 1 Vuole eseguire il 3 00:00:11,000 --> 00:00:17,000 ping del dispositivo B con l'indirizzo IP 10. 1. 2. 1 In questi 4 00:00:17,000 --> 00:00:21,000 esempi, sto discutendo di ICMP o del traffico ping, 5 00:00:21,000 --> 00:00:23,000 ma qualcosa di simile 6 00:00:23,000 --> 00:00:27,000 potrebbe accadere se inviassi HTTP, FTP o altro traffico. 7 00:00:27,000 --> 00:00:33,000 ciò che è importante notare qui è che questi dispositivi si trovano in sottoreti separate che stiamo 8 00:00:33,000 --> 00:00:36,000 usando una maschera / 24 in questa topologia. 9 00:00:36,000 --> 00:00:41,000 Quindi l'host A non si trova nella stessa sottorete dell'host B. 10 00:00:41,000 --> 00:00:44,000 ora la prima cosa che farà il PC è 11 00:00:44,000 --> 00:00:49,000 controllare se l'indirizzo IP con cui sta tentando di comunicare si trovi in una sottorete 12 00:00:49,000 --> 00:00:52,000 separata o nella stessa sottorete di se stessa. 13 00:00:52,000 --> 00:00:57,000 Lo fa facendo una logica conclusione usando la maschera di rete. 14 00:00:57,000 --> 00:01:00,000 Quindi in questo caso abbiamo la maschera / 24 l'indirizzo IP del 15 00:01:00,000 --> 00:01:04,000 PC A è 10. 1. 1. 1 e sta cercando di 16 00:01:04,000 --> 00:01:09,000 eseguire il ping di un indirizzo IP 10. 1. 2. 1/24 in notazione decimale 17 00:01:09,000 --> 00:01:15,000 puntata assomiglia a questo 255. 255. 255. 0 Il che significa 18 00:01:15,000 --> 00:01:19,000 che la parte di rete è i primi 3 ottetti dell'indirizzo. 19 00:01:19,000 --> 00:01:24,000 Quindi il PC locale 10. 1. 1. 1 confronta la porzione di 20 00:01:24,000 --> 00:01:28,000 rete con il dispositivo con cui sta tentando di comunicare per verificare se il dispositivo è locale o remoto. 21 00:01:28,000 --> 00:01:32,000 In questo caso la parte di rete dell'indirizzo è diversa. 22 00:01:32,000 --> 00:01:38,000 Quindi il PC locale sa che il dispositivo remoto si trova in una sottorete diversa 23 00:01:38,000 --> 00:01:43,000 da sé e invierà quindi il traffico al suo gateway predefinito per raggiungere 24 00:01:43,000 --> 00:01:47,000 la sottorete remota su cui si trova il dispositivo. 25 00:01:47,000 --> 00:01:50,000 Ora in questo esempio stiamo assumendo che il dispositivo 26 00:01:50,000 --> 00:01:52,000 A abbia un gateway predefinito configurato. 27 00:01:52,000 --> 00:01:57,000 Quindi il dispositivo A è stato configurato con il gateway predefinito 28 00:01:57,000 --> 00:02:03,000 del router 10. 1. 1. 100 quindi il PC 29 00:02:03,000 --> 00:02:05,000 verificherà innanzitutto se ha l'indirizzo MAC del 30 00:02:05,000 --> 00:02:08,000 router nella sua cache ARP locale. Ciò avviene perché è necessario 31 00:02:08,000 --> 00:02:11,000 inviare il traffico al router per raggiungere il dispositivo remoto. 32 00:02:11,000 --> 00:02:14,000 E poiché questo è un segmento Ethernet, per la comunicazione è 33 00:02:14,000 --> 00:02:16,000 richiesto un indirizzo Mac layer 2. 34 00:02:16,000 --> 00:02:20,000 Ethernet richiede ancora una volta che l'indirizzo MAC sia utilizzato al livello 35 00:02:20,000 --> 00:02:23,000 2 per la trasmissione attraverso una rete Ethernet. 36 00:02:23,000 --> 00:02:27,000 Quindi al livello 2 è richiesto un indirizzo MAC dal PC il PC sarebbe stato configurato con 37 00:02:27,000 --> 00:02:32,000 il gateway predefinito di 10. 1. 1. 100 che è 38 00:02:32,000 --> 00:02:35,000 un indirizzo IP a livello 3 ma l'indirizzo MAC 39 00:02:35,000 --> 00:02:38,000 del gateway predefinito non sarebbe stato configurato sul PC, 40 00:02:38,000 --> 00:02:41,000 quindi non c'è nessuna voce sul PC locale per 41 00:02:41,000 --> 00:02:43,000 l'indirizzo MAC del suo gateway predefinito 42 00:02:43,000 --> 00:02:47,000 e quindi dovrà inviare invia una trasmissione al segmento chiedendo chi ha 43 00:02:47,000 --> 00:02:52,000 l'indirizzo IP 10. 1. 1. 100 in 44 00:02:52,000 --> 00:02:55,000 altre parole si tratta di una richiesta ARP 45 00:02:55,000 --> 00:02:59,000 alla ricerca dell'indirizzo MAC associato all'indirizzo IP del gateway predefinito. 46 00:02:59,000 --> 00:03:04,000 Quando la trasmissione viene ricevuta dall'hub, la invierà da tutte le porte tranne le porte su 47 00:03:04,000 --> 00:03:06,000 cui sono arrivati. Il PC C 48 00:03:06,000 --> 00:03:09,000 riceverà la trasmissione al livello 2 ma quando leggerà le 49 00:03:09,000 --> 00:03:12,000 informazioni del livello 3 vedrà che questo è un 50 00:03:12,000 --> 00:03:18,000 ARP per 10 . 1. 1. 100 che non è il suo indirizzo IP. 51 00:03:18,000 --> 00:03:22,000 Quindi il PC C abbandonerà la richiesta ARP. 52 00:03:22,000 --> 00:03:25,000 Il router elaborerà tuttavia la richiesta ARP. 53 00:03:25,000 --> 00:03:28,000 In primo luogo riceverà il traffico al livello 54 00:03:28,000 --> 00:03:33,000 2 perché si tratta di una trasmissione e quando legge le informazioni del livello 3 55 00:03:33,000 --> 00:03:37,000 vedrà che questa è una richiesta ARP per il suo indirizzo IP. 56 00:03:37,000 --> 00:03:44,000 Quindi il router risponderà con una risposta ARP al PC Una richiesta ARP. 57 00:03:44,000 --> 00:03:49,000 La risposta ARP è un indirizzo unicast in modo che l'indirizzo MAC di origine sia 58 00:03:49,000 --> 00:03:53,000 G l'indirizzo MAC del router, l'indirizzo MAC di destinazione sia un indirizzo 59 00:03:53,000 --> 00:03:55,000 IP di origine è l'indirizzo 60 00:03:55,000 --> 00:03:59,000 IP di destinazione dell'indirizzo IP del router è un indirizzo IP. 61 00:03:59,000 --> 00:04:02,000 L'hub riempirà nuovamente il traffico di tutte le 62 00:04:02,000 --> 00:04:05,000 porte tranne la porta su cui è arrivato. 63 00:04:05,000 --> 00:04:08,000 C lascerà cadere il frame perché non è destinato a se stesso. 64 00:04:08,000 --> 00:04:11,000 Notare nel frame che l'indirizzo MAC di destinazione è A, ma 65 00:04:11,000 --> 00:04:14,000 l'indirizzo MAC del PC è C, quindi farà cadere il frame. 66 00:04:14,000 --> 00:04:18,000 E ciò che è importante notare è che è la scheda di 67 00:04:18,000 --> 00:04:23,000 interfaccia di rete che fa cadere il frame e non la CPU centrale del PC. 68 00:04:23,000 --> 00:04:28,000 A riceverà il frame e su una ricevuta elaborerà il frame perché l'indirizzo MAC 69 00:04:28,000 --> 00:04:30,000 di destinazione è esso stesso. 70 00:04:30,000 --> 00:04:35,000 Quindi al livello 2 il frame è accettato dalla NIC o dalla Network Interface Card. 71 00:04:35,000 --> 00:04:35,000 Le informazioni del livello 2 sono strip e le inoltrano ai protocolli di livello più alto. 72 00:04:35,000 --> 00:04:44,000 Poiché si tratta di una risposta ARP, il suo processo viene eseguito mediante protocolli di alto livello e la cache ARP viene 73 00:04:44,000 --> 00:04:51,000 aggiornata con l'indirizzo MAC del router, pertanto PC A ora ha una mappatura che dice che 74 00:04:51,000 --> 00:04:57,000 l'indirizzo IP 10. 1. 1. 100 usa l'indirizzo MAC 75 00:04:57,000 --> 00:05:02,000 G quindi questo è l'importante, il PC A sa che l'indirizzo IP 76 00:05:02,000 --> 00:05:05,000 10. 1. 1. 100 è associato all'indirizzo MAC G. 77 00:05:05,000 --> 00:05:13,000 Quindi il PC può inviare traffico alla rete destinata al PC remoto 10. 1. 2. 1 con l'indirizzo IP di origine 78 00:05:13,000 --> 00:05:18,000 impostato su 10. 1. 1. 1 ma si 79 00:05:18,000 --> 00:05:22,000 noti che l'indirizzo MAC di origine è il PC locale e 80 00:05:22,000 --> 00:05:25,000 che l'indirizzo MAC di destinazione è il router. 81 00:05:25,000 --> 00:05:31,000 La cornice del livello 2 va al router e quindi le informazioni del livello 82 00:05:31,000 --> 00:05:35,000 2 contengono gli indirizzi MAC del segmento locale. 83 00:05:35,000 --> 00:05:39,000 Indirizzo MAC di origine del PC, indirizzo MAC di destinazione del router. 84 00:05:39,000 --> 00:05:44,000 Le informazioni del livello 3 contengono l'indirizzo IP di destinazione 85 00:05:44,000 --> 00:05:48,000 dell'host remoto e l'indirizzo IP del PC locale. 86 00:05:48,000 --> 00:05:54,000 L'hub invierà il frame a entrambi c e G, C lascerà cadere il frame perché l'indirizzo MAC 87 00:05:54,000 --> 00:05:57,000 di destinazione non è di per sé il 88 00:05:57,000 --> 00:06:00,000 router riceverà il frame a livello 2 perché 89 00:06:00,000 --> 00:06:03,000 è destinato al suo indirizzo MAC di G. 90 00:06:03,000 --> 00:06:07,000 Spoglierà quindi le informazioni del livello 2 e leggerà le 91 00:06:07,000 --> 00:06:10,000 informazioni del livello 3 nel pacchetto. 92 00:06:10,000 --> 00:06:13,000 Quindi ora diamo un'occhiata ad un esempio pratico 93 00:06:13,000 --> 00:06:18,000 che ho intenzione di catturare il traffico in Wireshark, quindi inizierò la cattura. Svuoterò 94 00:06:18,000 --> 00:06:24,000 la mia cache ARP, quindi arp-a mostra che non ci sono voci nella cache ARP al momento 95 00:06:24,000 --> 00:06:29,000 e poi farò ping a hp. com notare che la risoluzione 96 00:06:29,000 --> 00:06:34,000 DNS è in corso, il messaggio ICMP è scaduto perché un 97 00:06:34,000 --> 00:06:38,000 firewall sta bloccando i messaggi ICMP su quel server. 98 00:06:38,000 --> 00:06:43,000 Quindi, ecco un altro esempio, consente di eseguire il ping di Google com. 99 00:06:43,000 --> 00:06:48,000 I ping di avviso stanno avendo successo, quindi interromperò l'acquisizione. 100 00:06:48,000 --> 00:06:52,000 HP utilizzava un indirizzo IP nell'intervallo 15. 101 00:06:52,000 --> 00:06:55,000 Diamo quindi un'occhiata al traffico ICMP, quindi nota che c'è 102 00:06:55,000 --> 00:06:58,000 un messaggio ICMP su hp. com e 103 00:06:58,000 --> 00:07:01,000 puoi vederlo perché l'indirizzo è 15. 104 00:07:01,000 --> 00:07:05,000 E HP possiede il 15 range di indirizzi IP. 105 00:07:05,000 --> 00:07:10,000 Non abbiamo ricevuto risposta dal server ma è stata inviata la richiesta di eco. 106 00:07:10,000 --> 00:07:14,000 Quello che vorrei vederti per favore è che al livello 2 l'indirizzo 107 00:07:14,000 --> 00:07:16,000 MAC di origine è il mio 108 00:07:16,000 --> 00:07:20,000 pc locale, ma l'indirizzo MAC di destinazione è il mio router locale. 109 00:07:20,000 --> 00:07:26,000 Avviso Posso vedere che questo è un dispositivo Cisco perché l'indirizzo MAC è 110 00:07:26,000 --> 00:07:31,000 mostrato come Cisco per la parte OUI o fornitore dell'indirizzo. 111 00:07:31,000 --> 00:07:34,000 Possiamo vedere che digitando arp-a, 112 00:07:34,000 --> 00:07:38,000 questo indirizzo MAC è l'indirizzo MAC associato all'indirizzo 113 00:07:38,000 --> 00:07:43,000 IP 10. 0. 0. 254 IP config 114 00:07:43,000 --> 00:07:46,000 ci mostra che quello è l'indirizzo IP del gateway predefinito. 115 00:07:46,000 --> 00:07:50,000 Quindi il traffico sta passando dal mio PC locale a HP. com ma viene 116 00:07:50,000 --> 00:07:53,000 instradato dal mio router locale. 117 00:07:53,000 --> 00:07:56,000 Sul livello 3 abbiamo l'indirizzo IP del PC 118 00:07:56,000 --> 00:08:00,000 locale, l'indirizzo IP di destinazione è hp, ma a livello 2 l'indirizzo 119 00:08:00,000 --> 00:08:03,000 MAC di origine è il mio PC e 120 00:08:03,000 --> 00:08:06,000 l'indirizzo MAC di destinazione è il router locale. 121 00:08:06,000 --> 00:08:13,000 E ancora una volta inviando il traffico al mio gateway predefinito locale al livello 2. 122 00:08:13,000 --> 00:08:18,000 Posso filtrare l'acquisizione di Wireshark per mostrare di nuovo solo il traffico ICMP. 123 00:08:18,000 --> 00:08:23,000 Ecco il traffico diretto a Google, quindi l'indirizzo IP di origine è il mio indirizzo 124 00:08:23,000 --> 00:08:27,000 IP di destinazione della macchina locale è Google ma si noti al 125 00:08:27,000 --> 00:08:30,000 livello 2 l'indirizzo MAC di origine è il 126 00:08:30,000 --> 00:08:35,000 mio PC locale e l'indirizzo MAC di destinazione è ancora una volta il router locale.