Estoy tratando de descubrir los paquetes etiquetados con VLAN que mi host recibe o envía a otros hosts. Lo intenté
tcpdump -i eth1 vlan 0x0070
Pero no funcionó. ¿Alguien ha intentado ver los paquetes VLAN a través de tcpdump antes? ¡No pude encontrar mucha ayuda buscando en la web!
Respuesta1
Si su host está conectado a un puerto de acceso, es probable que el conmutador elimine la etiqueta VLAN antes de llegar a su host. Como resultado, al ejecutar TCPDump en el host en cuestión nunca se verán las etiquetas VLAN.
Necesitaría configurar un puerto SPAN y/o introducir un grifo de red en algún lugar de su red para captar el tráfico antes de que las etiquetas se eliminen de los paquetes para poder verlas en un volcado/rastreo de red.
Respuesta2
De hecho, puedes usar Linux para "decodificar" 802.1q (etiquetado VLAN). Puede convertir Linux de manera efectiva en un "enrutador en un dispositivo" y enrutar entre VLAN, con un solo puerto Ethernet, en un elegante conmutador Cisco Layer 2 (que tiene muchas VLAN).
la ethernet principal tiene "subinterfaces" que se corresponden con la identificación de vlan. luego puede enrutar e iptables (firewall) las subinterfaces individualmente.
Esta es una manera fácil de tener un firewall perimetral de Linux conectado al ISP y 10 VLAN detrás de él, pero usando solo una única interfaz Ethernet.
dot q es el estándar, aunque Cisco cree que lo inventó, por lo que funciona muy bien en Linux.
EDITAR: para habilitar esto
sonda mod 8021q
Luego puede ejecutar tcpdump para escuchar en las subinterfaces.
Respuesta3
Para ser honesto, creo que estás usando la herramienta incorrecta: tcpdump está más vinculado a IP (L3), mientras que las VLAN son una característica de L2; intenta usar Wireshark en su lugar.