使用一個乙太網埠在 3 個 VLAN 中的每一個中託管一個簡單的honeypot伺服器
我正在嘗試在不同的 VLAN 中設置honeypot伺服器。我工作的公司有 3 個 VLAN:10、20、30。我的目標是使用 Raspberry Pi 在每個 VLAN 中託管一個簡單的honeypot和廣播嗅探器(用於 ARP 和 DHCP)。
我通過中繼連接到主交換機,對於每個 VLAN,我認為我需要一個能夠在其中進行通信的虛擬介面:
VLAN 10:192.168.1.0/24(我希望這裡有 192.168.1.100) VLAN 20:192.168.2.0/24(我希望這裡有 192.168.2.100) VLAN 30:192.168.60.0/24(我希望有 192.168) .60.100 這裡)
據我所知,我可以像 eth0:1、eth0:2 和 eth0:3 一樣使用,並為它們中的每一個分配基本的 IP 資訊。這行得通嗎?
對於這種“簡單”的情況(即不涉及網橋和網橋埠、重疊的 VLAN 或任何其他花哨的設置),您只需使用其預設設置創建三個 vlan 子介面。完成後,您現在可以像往常一樣認為您擁有三個介面,而無需考慮物理介面或 VLAN。預設設置只會在每個介面上自動標記和取消標記單個 vlan id。這些介面的一種命名約定是在基本介面名稱之後添加 vlan id,中間有一個點。
ip link add eth0.10 link eth0 type vlan id 10 ip link add eth0.20 link eth0 type vlan id 20 ip link add eth0.30 link eth0 type vlan id 30 ip link set eth0 up ip link set eth0.10 up ip link set eth0.20 up ip link set eth0.30 up就是這樣。您現在可以像往常一樣配置它們,就像它們是基本的乙太網介面一樣,而無需再考慮 VLAN。請忘記
ifconfig哪個已經過時 10 年並改用它ip ...。的使用:是從這裡遺留下來的,用於ifconfig在同一介面上設置額外的 IP,而不是用於添加額外的介面。ip address add dev eth0.10 192.168.1.100/24 ip address add dev eth0.20 192.168.2.100/24 ip address add dev eth0.30 192.168.60.100/24現在例如
tcpdump將在 上顯示ethertype 802.1Q幀eth0,但僅在通常(例如)ethertype ARP或ethertype IPv4在 上顯示幀eth0.10:核心處理 vlan 子介面的自動標記/取消標記。避免讓特殊的網路工具(如 DHCP 直接監聽)eth0,有些可能會與標記混淆。您可能遇到的任何問題都不是由 VLAN 引起的,而是由路由引起的:您不能指望像這樣的多宿主設置可以在沒有策略路由的情況下自由使用其任何 IP 到任何地方。只要您不嘗試使用多個預設網關或使用兩條不同的路徑到達同一目的地,您就不需要策略路由。
您應該考慮使用系統設置來創建和配置這些介面,而不是手動配置介面。例如 Debian 的
ifupdownvlan擴展選項,或者NetworkManager兩者都可以創建和配置這些介面。此外,正如 Rui F Ribeiro 所說,您應該使用能夠應對流量的硬體,而 RPi 可能還不夠。