我们位于某种 Cisco 路由器后面,必须通过 Cisco NAC 代理进行连接。我所在大学的技术支持人员告诉我,如果我连接路由器,“整栋楼都会失去互联网访问。”我觉得这很难令人相信,我想知道:1. 他们能知道我是否在使用路由器吗?2. 他们怎么知道路由器是否在使用 NAT?
答案1
除了 PulpSpy 的(正确)答案之外,还可以通过查看传出 IP 数据包的 TTL 字段来检测路由器(无论是否为 NAT)。终端站通常将 TTL 设置为已知数字,例如 64、254 或几个其他替代方案(具体取决于操作系统)。当大多数数据包都比这个小 1 时,例如 63 等,这表明中间有一个路由器跳跃。
答案2
是的,他们可能看得出来。NAT 路由将重新分配所有端口号,以保持哪些流量来自哪台计算机的直通。因此,您的流量看起来很奇怪,并且当多台计算机连接时,它们通常会位于相邻端口上。这不是证据,但如果他们专门对此进行筛查,这足以引起注意。
答案3
除了其他答案中已经提到的 TTL 之外,当它从 WAN 端口获取 IP 时,他们还可以使用路由器的 DHCP 指纹。
我知道这一点,因为我从事 PacketFence 开源 NAC(思科 NAC 的竞争对手)工作,并且我们使用了这样的技巧。
以下是 PacketFence 中识别的 DHCP 指纹列表:http://packetfence.org/dhcp_fingerprints.conf
我们知道它也被其他产品使用。
答案4
我很难相信,如果学生将路由器插入宿舍插座,大学的网络架构师会让自己面临网络完全故障的风险。学生尝试这种事情的可能性相当高(例如,请看这篇文章)。
奥卡姆剃刀原理的答案是,技术支持人员可能只是想吓唬你,而不是说他不知道。
此外,在对等架构中(与 SNA 不同,在 SNA 中,您可以通过假装 NCP 来破坏整个网络),设备冲突等导致网络完全故障的可能性非常低。您的路由器可能会以某种方式获得(或您自己定义)与宿舍楼自己的分发中心之一相同的 IP 地址,但也可能会有小行星撞击您的建筑物。
但让我们假设它确实发生了:只要思科路由器没有重新启动,就不会发生任何事情,而您的路由器只会抱怨无法获得正确的连接。此外,思科路由器可能会在日志中的某个地方报告重复的 IP 冲突(操作员或网络管理员会注意到)。