다른 VLAN에 허니팟 서버를 설정하려고 합니다. 제가 일하는 회사에는 VLAN이 3개(10, 20, 30) 있습니다. 내 목표는 Raspberry Pi를 사용하여 각 VLAN에서 간단한 허니팟과 브로드캐스트 스니퍼(ARP 및 DHCP용)를 호스팅하는 것입니다.
저는 트렁크를 통해 메인 스위치에 연결되어 있으며, 각 VLAN에 대해 다음과 같이 통신할 수 있는 가상 인터페이스가 필요하다고 생각합니다.
VLAN 10: 192.168.1.0/24(여기에 192.168.1.100이 있기를 바랍니다) VLAN 20: 192.168.2.0/24(여기에 192.168.2.100이 있기를 바랍니다) VLAN 30: 192.168.60.0/24(여기에 192.168이 있기를 바랍니다) 여기). 60.100 여기)
제가 아는 한 eth0:1, eth0:2, eth0:3을 이용해서 각 장비에 기본 IP 정보를 할당할 수 있는 것으로 알고 있습니다. 이것이 작동할까요?
답변1
이 "간단한" 사례(즉, 브리지와 브리지 포트가 없고 VLAN이 겹치거나 기타 복잡한 설정이 포함된 경우)의 경우 기본 설정을 사용하여 3개의 VLAN 하위 인터페이스를 생성하기만 하면 됩니다. 완료되면 이제 물리적 인터페이스나 VLAN에 대해 생각할 필요 없이 평소처럼 3개의 인터페이스가 있다고 생각할 수 있습니다. 기본 설정은 각 인터페이스의 단일 VLAN ID에만 자동으로 태그를 지정하고 태그를 해제합니다. 이러한 인터페이스의 명명 규칙 중 하나는 중간에 점이 있는 기본 인터페이스 이름 뒤에 VLAN ID를 추가하는 것입니다.
ip link add eth0.10 link eth0 type vlan id 10
ip link add eth0.20 link eth0 type vlan id 20
ip link add eth0.30 link eth0 type vlan id 30
ip link set eth0 up
ip link set eth0.10 up
ip link set eth0.20 up
ip link set eth0.30 up
그게 다야. 이제 VLAN에 대해 생각할 필요 없이 마치 기본 이더넷 인터페이스인 것처럼 평소처럼 구성할 수 있습니다. ifconfig어느 것이 10년이 지난 것인지 잊어버리고 ip ...대신 사용하십시오. :이 내용의 나머지 부분은 ifconfig추가 인터페이스를 추가하는 것이 아니라 동일한 인터페이스에 추가 IP를 설정하는 데 사용됩니다 .
ip address add dev eth0.10 192.168.1.100/24
ip address add dev eth0.20 192.168.2.100/24
ip address add dev eth0.30 192.168.60.100/24
예를 들어 이제 on의 프레임이 표시 tcpdump되지만 일반적으로(예를 들어) on 인 프레임만 표시됩니다 . 커널은 vlan 하위 인터페이스의 자동 태그 지정/태그 해제를 처리합니다. 직접 수신하기 위해 DHCP와 같은 특수 네트워크 도구를 사용하지 마십시오 . 일부 도구는 태그와 혼동될 수 있습니다.ethertype 802.1Qeth0ethertype ARPethertype IPv4eth0.10eth0
발생할 수 있는 문제는 VLAN이 아니라 라우팅으로 인해 발생합니다. 이와 같은 멀티홈 설정에서는 정책 라우팅 없이 어디에서나 IP를 자유롭게 사용할 수 있을 것이라고 기대할 수 없습니다. 여러 기본 게이트웨이를 갖거나 동일한 대상에 대해 서로 다른 두 경로를 사용하지 않는 한 정책 라우팅은 필요하지 않습니다.
인터페이스를 수동으로 구성하는 대신 시스템 설정을 사용하여 이러한 인터페이스를 만들고 구성하는 것을 고려해야 합니다. 예를 들어 데비안의ifupdown~의VLAN 확장 옵션, 또는NetworkManager둘 다 이러한 인터페이스를 생성하고 구성할 수 있습니다.
또한 Rui F Ribeiro가 언급한 것처럼 트래픽을 처리할 수 있는 하드웨어를 사용해야 하며 RPi가 충분하지 않을 수 있습니다.