This is an old revision of the document!
Table of Contents
Описание параметров
Данный тип соединения подразумевает, что каналообразующий сетевой трафик и сетевой трафик с полезной нагрузкой передаются через разные физические/логические соединения.
- Сетевой интерфейс eth1 - менеджмент интерфейс для управления устройством.
- Сетевой интерфейс GigabitEthernetb/0/2 - сетевой интерфейс на первом устройстве для подключения устройств между собой. Служебный трафик.
- Сетевой интерфейс GigabitEthernete/0/2 - сетевой интерфейс на втором устройстве для подключения устройств между собой. Служебный трафик.
- Сетевой интерфейс GigabitEthernet5/0/0 - сетевой интерфейс на первом устройстве для подключения устройств между собой. Полезная нагрузка.
- Сетевой интерфейс GigabitEthernet8/0/0 - сетевой интерфейс на втором устройстве для подключения устройств между собой. Полезная нагрузка.
- Устройство 1 - устройство, которое расположено слева на схеме.
- Устройство 2 - устройство, которое расположено справа на схеме.
Общая схема стенда
Подробная схема стенда
Настройки ip адреса на сетевых интерфейсах
По умолчанию сетевой интерфейс на устройстве находится в состоянии “Down”. Для изменения состояния необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт “Сетевые настройки - Интерфейс Ethernet”. В таблице “Интерфейсы Ethernet” необходимо выбрать нужный сетевой интерфейс и нажать на кнопку “Редактировать”. В новом окне в таблице “Настроить ethernet интерфейс” в поле “Состояние” необходимо задать значение “Up”. После изменения состояния для сетевого интерфейса необходимо нажать на кнопку “ОК” и “Сохранить”.
На первом устройстве необходимо перевести в состояние “UP” сетевой интерфейс “GigabitEthernet5/0/0” и “GigabitEthernetb/0/2”.
Для настройки ip адреса на сетевом интерфейсе необходимо подключиться к “Устройству 1” через web интерфейс. В главном меню выбрать пункт “Сетевые настройки - IP адреса”. В таблице “IP адреса” необходимо нажать на кнопку “Добавить IP адрес”. В новом окне в таблице “Настроить IP адрес” в поле “Название интерфейса” необходимо выбрать сетевой интерфейс “GigabitEthernet5/0/0”, в поле “IP адрес/маска подсети” задать сетевой адрес “192.168.250.2/24”. После задания ip адреса необходимо нажать на кнопку “ОК” и “Сохранить”. На сетевом интерфейсе “GigabitEthernetb/0/2” необходимо задать сетевой адрес “192.168.17.2/24”.
На втором устройстве необходимо перевести в состояние “UP” сетевой интерфейс “GigabitEthernet8/0/0” и “GigabitEthernete/0/2”. На сетевом интерфейсе “GigabitEthernet8/0/0” необходимо задать сетевой адрес “192.168.250.1/24”, на интерфейсе “GigabitEthernete/0/2” сетевой адрес “192.168.17.1/24”.
| Устройство | Сетевой интерфейс | Состояние | Сетевой адрес |
|---|---|---|---|
| Устройство 1 | GigabitEthernet5/0/0 | UP | 192.168.250.2/24 |
| GigabitEthernetb/0/2 | UP | 192.168.17.2/24 | |
| Устройство 2 | GigabitEthernet8/0/0 | UP | 192.168.250.1/24 |
| GigabitEthernete/0/2 | UP | 192.168.17.1/24 |
После изменения состояния сетевого интерфейса и задания сетевого адреса на обоих устройствах, можно подключиться к каждому устройству по протоколу ssh и проверить настройки и сетевую доступность. В консольном режиме необходимо перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show interface <interface_name>” и “sh interface address <interface_name>”. При выполнении команд в консоли допускаются сокращения, например, “sh interface” и “sh int addr”.
Сетевую связность между устройствами можно проверить с помощью протокола ICMP.
Устройство 1
# vppctl
vpp# sh interface GigabitEthernet5/0/0
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernet5/0/0 2 up 9000/0/0/0 rx packets 4521
rx bytes 2434
vpp# sh interface GigabitEthernetb/0/2
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernetb/0/2 9 up 9000/0/0/0 rx packets 1354
rx bytes 157
vpp# sh interface address GigabitEthernet5/0/0
GigabitEthernet5/0/0 (up):
L3 192.168.250.2/24
vpp# sh interface address GigabitEthernetb/0/2
GigabitEthernetb/0/2 (up):
L3 192.168.17.2/24
vpp#
vpp# ping 192.168.250.1
116 bytes from 192.168.250.1: icmp_seq=1 ttl=64 time=.1974 ms
116 bytes from 192.168.250.1: icmp_seq=2 ttl=64 time=.1729 ms
116 bytes from 192.168.250.1: icmp_seq=3 ttl=64 time=.1689 ms
116 bytes from 192.168.250.1: icmp_seq=4 ttl=64 time=.1701 ms
116 bytes from 192.168.250.1: icmp_seq=5 ttl=64 time=.1797 ms
Statistics: 5 sent, 5 received, 0% packet loss
vpp#
vpp# ping 192.168.17.1
116 bytes from 192.168.17.1: icmp_seq=2 ttl=64 time=.1706 ms
116 bytes from 192.168.17.1: icmp_seq=3 ttl=64 time=.7360 ms
116 bytes from 192.168.17.1: icmp_seq=4 ttl=64 time=.1567 ms
116 bytes from 192.168.17.1: icmp_seq=5 ttl=64 time=.1741 ms
116 bytes from 192.168.17.1: icmp_seq=5 ttl=64 time=.1624 ms
Statistics: 5 sent, 5 received, 0% packet loss
Устройство 2
# vppctl
vpp# sh interface GigabitEthernet8/0/0
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernet8/0/0 7 up 9000/0/0/0 rx packets 17
rx bytes 54
vpp# sh interface GigabitEthernete/0/2
Name Idx State MTU (L3/IP4/IP6/MPLS) Counter Count
GigabitEthernete/0/2 13 up 9000/0/0/0 rx packets 57
rx bytes 16
vpp# sh interface address GigabitEthernet8/0/0
GigabitEthernet8/0/0 (up):
L3 192.168.250.1/24
vpp# sh interface address GigabitEthernet8/0/0
GigabitEthernete/0/2 (up):
L3 192.168.17.1/24
vpp#
vpp# ping 192.168.250.2
116 bytes from 192.168.250.2: icmp_seq=1 ttl=64 time=.1807 ms
116 bytes from 192.168.250.2: icmp_seq=2 ttl=64 time=.1719 ms
116 bytes from 192.168.250.2: icmp_seq=3 ttl=64 time=.1546 ms
116 bytes from 192.168.250.2: icmp_seq=4 ttl=64 time=.1684 ms
116 bytes from 192.168.250.2: icmp_seq=5 ttl=64 time=.1543 ms
Statistics: 5 sent, 5 received, 0% packet loss
vpp#
vpp# ping 192.168.17.2
116 bytes from 192.168.250.2: icmp_seq=1 ttl=64 time=.1671 ms
116 bytes from 192.168.250.2: icmp_seq=2 ttl=64 time=.1624 ms
116 bytes from 192.168.250.2: icmp_seq=3 ttl=64 time=.1761 ms
116 bytes from 192.168.250.2: icmp_seq=4 ttl=64 time=.1684 ms
116 bytes from 192.168.250.2: icmp_seq=5 ttl=64 time=.1697 ms
Statistics: 5 sent, 5 received, 0% packet loss
Создание LCP интерфейса
LCP интерфейс необходим для того, чтобы устройства смогли установить защищенное соединение, согласовать ключевую информацию и другие параметры. LCP интерфейс является отображением физического интерфейса, через который обмениваются сетевым трафиком устройства, на уровне управления.
Для создания LCP интерфейса необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт “Сетевые настройки - Интерфейс LCP”. В таблице “Интерфейс LCP” необходимо нажать на кнопку “Добавить интерфейс”. В новом окне в таблице “Настроить LCP интерфейс” в поле “Название” необходимо задать название для LCP интерфейса, в поле “Имя нижележащего интерфейса” необходимо выбрать физический интерфейс. На обоих устройствах необходимо задать имя для LCP интерфейс “lcp_vpn”. После задания параметров для LCP интерфейса необходимо нажать на кнопку “ОК” и “Сохранить”.
Для “Устройства 2” необходимо сделать аналогичную настройку. Для LCP интерфейса необходимо задать как нижележащий интерфейс - “GigabitEthernete/0/2”.
| Устройство | Физический интерфейс | LCP интерфейс | Комментарий |
|---|---|---|---|
| Устройство_1 | GigabitEthernetb/0/2 | lcp_vpn | Данная настройка позволяет сделать проброс сетевого интерфеса для служебного трафика на уровень управления. |
| GigabitEthernet5/0/0 | - | Для заданного сетевого интерфейса lcp интерфейс не создаем. | |
| Устройство_2 | GigabitEthernete/0/2 | lcp_vpn | Данная настройка позволяет сделать проброс сетевого интерфеса для служебного трафика на уровень управления. |
| GigabitEthernet8/0/0 | - | Для заданного сетевого интерфейса lcp интерфейс не создаем. |
После создания LCP интерфейса можно подключиться к каждому устройству по протоколу ssh и проверить настройки. В консольном уровне управления необходимо выполнить команду “ifconfig lcp_vpn”. Обратите внимание, что на LCP интерфейсе автоматически будет задан такой же ip адрес, как и на физическом интерфейсе, который был задан как нижележащий при настройке. Командой “ping” можно проверить сетевую доступность.
Устройство 1
# ifconfig lcp_vpn
lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:95:CE:B5
inet addr:192.168.250.2 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::290:bff:fe95:ceb5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:27 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:2678 (2.6 KiB)
#
# ping 192.168.250.1
PING 192.168.250.1 (192.168.250.1): 56 data bytes
64 bytes from 192.168.250.1: seq=0 ttl=64 time=0.393 ms
64 bytes from 192.168.250.1: seq=1 ttl=64 time=0.191 ms
Устройство 2
# ifconfig lcp_vpn
lcp_vpn Link encap:Ethernet HWaddr 00:90:0B:8D:70:E1
inet addr:192.168.250.1 Bcast:0.0.0.0 Mask:255.255.255.0
inet6 addr: fe80::290:bff:fe8d:70e1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:9000 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:60 (60.0 B) TX bytes:2780 (2.7 KiB)
#
# ping 192.168.250.2
PING 192.168.250.2 (192.168.250.2): 56 data bytes
64 bytes from 192.168.250.2: seq=0 ttl=64 time=0.568 ms
64 bytes from 192.168.250.2: seq=1 ttl=64 time=0.188 ms
Создание VPN интерфейса
Для построения защищенного соединения между устройствами необходимо создать интерфейс VPN. Это логический интерфейс, который будет связан с механизмами шифрования. Весь трафик, который мы будем передавать на этот сетевой интерфейс, будет попадать в защищенное соединение.
Для создания VPN интерфейса необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт “Сетевые настройки - Интерфейс VPN туннеля”. В таблице “Интерфейс VPN туннеля” необходимо нажать на кнопку “Добавить интерфейс”. В новом окне в таблице “Настроить интерфейс VPN-туннеля” в поле “Название” необходимо задать название для VPN интерфейса. Остальные параметры можно оставить без изменения. После задания параметров для VPN интерфейса необходимо нажать на кнопку “ОК” и “Сохранить”. Для “Устройства 1” необходимо задать имя “tap_s”, для “Устройства 2” необходимо задать имя “tap_c”. Такие имена для интерфейсов VPN мы задаем для конкретного случая, пользователь может задать их на свое усмотрение.
Работа с ключевой информацией
Для построения защищенного соединения на устройство необходимо загрузить ключевую информацию. Ключевая информация включает в себя корневой сертификат и ключ. Корневой сертификат необходимо загрузить на каждое устройство, ключ у каждого устройства должен быть свой.
Для загрузки корневого сертификата необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт “VPN - Сертификаты и ключи”. В таблице “Сертификаты и ключевые пары” необходимо нажать на кнопку “Добавить объект ИОК”. В новом окне, в таблице “Добавление объекта ИОК” необходимо нажать на кнопку “Загрузить объект ИОК”. Далее в проводнике необходимо выбрать файл с корневым сертификатом. После добавления корневого сертификата необходимо нажать на кнопку “ОК” и “Сохранить”.
Далее необходимо загрузить ключевую пару. Загрузка происходит аналогично, но для ключа необходимо ввести пароль от контейнера.
После загрузки корневого сертификата и ключевой пары можно переходить к настройке защищенного соединения.
Настройка защищенного соединения
Для настройки защищенного соединения необходимо подключиться к устройству через web интерфейс. В главном меню выбрать пункт “VPN - VPN-сервис”. В таблице “VPN-сервис” необходимо нажать на кнопку “Добавить сервис”. В новом окне в таблице “Настроить VPN сервис” необходимо задать параметры для сервиса.
<wrap important>Обратите внимание, что часть параметров имеет значения по умолчанию. Эти значения подобраны оптимальным образом. Не рекомендуется без необходимости изменять их.
Параметры для защищенного соединения для первого устройства представлены в таблице:
| Параметр | Значение | Комментарий |
|---|---|---|
| Имя сервиса | VPN | Название для сервиса. Параметр необходим для визуальной идентификации защищенного соединения в интерфейсе устройства. |
| Тип туннельного интерфейса | NPP | На устройстве поддерживается несколько типов туннельных интерфейсов. Для подключения устройств между собой необходимо использовать тип NPP. Устройства с разными типами не могут установить защищенное соединение между собой. |
| Название VPN интерфейса | tap_s | Имя VPN интерфейса, который был создан на предыдущих шагах. Этот интерфейс будет являться точкой входа в защищенное соединение для нашего сервиса. |
| Режим хэндшейка | Server | Режим Server означает, что устройство будет ожидать запросов на подключение от других участников. |
| Точки подключения (адрес:порт) | 0.0.0.0:1025 | Устройство ожидает подключения на заданном сетевом адресе и заданном сетевом порту 1025 по протоколу UDP. Для случая, когда параметр задан как 0.0.0.0 устройство будет ожидать подключение на всех своих адресах. |
| Идентификатор туннеля | 1 | Номер туннеля. Защищенный трафик для всех устройств передается по порту 1024, для определения какому клиенту принадлежит заданный пакет используется дополнительный параметр - идентификатор туннеля. |
| Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. |
| Локальный адрес туннеля | 0.0.0.0:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP. Для случая, когда параметр задан как 0.0.0.0 устройство будет использовать адрес, который был задан в параметрах хэндшейка. |
| Удаленный адрес туннеля | Не заполняем |
Параметры для защищенного соединения для второго устройства представлены в таблице:
| Параметр | Значение | Комментарий |
|---|---|---|
| Имя сервиса | VPN | Название для сервиса. Параметр необходим для визуальной идентификации защищенного соединения в интерфейсе устройства. |
| Тип туннельного интерфейса | NPP | На устройстве поддерживается несколько типов туннельных интерфейсов. Для подключения устройств между собой необходимо использовать тип NPP. Устройства с разными типами не могут установить защищенное соединение между собой. |
| Название VPN интерфейса | tap_с | Имя VPN интерфейса, который был создан на предыдущих шагах. Этот интерфейс будет являться точкой входа в защищенное соединение для нашего сервиса. |
| Режим хэндшейка | Server | Режим Server означает, что устройство будет ожидать запросов на подключение от других участников. |
| Точки подключения (адрес:порт) | 192.168.250.2:1050 | Устройство в режиме клиента пытается установить защищенное соединение с другим устройством, отправляя запросы на заданный адрес и заданный сетевой порт по протоколу UDP. |
| Интервал между попытками хэндшейка | 2 | Сколько раз устройство будет пытаться установить защищенное соединение с сервером. |
| Уровень инкапсуляции | L4 | Данных параметр определяет заголовки, которые будут добавляться к сетевому пакету после шифрования. Для режима L4, будет добавляться заголовок L2, L3 и L4. |
| Локальный адрес туннеля | 0.0.0.0:1024 | Данных параметр означает, что после установки защищенного соединения и согласования параметров. Устройство будет ожидать зашифрованный трафик и отправлять зашифрованный трафик с заданного адреса и заданного сетевого порта по протоколу UDP. Для случая, когда параметр задан как 0.0.0.0 устройство будет использовать адрес, который был задан в параметрах хэндшейка. |
| Удаленный адрес туннеля | Не заполняем |
После задания параметров для защищенного соединения на первом и втором устройствах, необходимо сохранить настройки и запустить сервис. Для запуска сервиса необходимо в главном меню выбрать пункт “VPN - VPN-сервис”, в таблице “VPN-сервис” необходимо выбрать сервис, который необходимо запустить и нажать на кнопку “Запустить”. В таблице в графе “Состояние” должен появиться статус “Сервис работает”.
Работа сервиса означает, что устройства пробуют установить защищенное соединение согласно настройкам, которые были заданы. Фактически соединение может быть не установлено. Для проверки, что защищенное соединение установлено, можно посмотреть либо журналы событий. Для этого необходимо в главном меню выбрать пункт “Журналы событий - Журнал VPN”. Для заданного сервиса должна быть запись вида “Handshake finished”. Также проверить, что защищенное соединение установлено, можно через консольное подключение. Для этого необходимо подключиться к устройству по протоколу ssh, перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “show dmvpn tunnels”.
Устройство 1
#vppctl
vpp# sh dmvpn tunnels
Tunnels by index 1/1024
[0] sw_if_index 14, tunnel_id 1, peers count 1/100, P2P
[0] tunnel_id 1, remote_peer_id 2, local_peer_id 0, remote_ep 192.168.250.1:1024, local_ep 192.168.250.2:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0
Peers by id
remote peer id 2 -> index 0
Peers by mac
Tunnels by id
tunnel id 1 -> index 0
vpp#
Устройство 2
#vppctl
vpp# sh dmvpn tunnels
Tunnels by index 1/1024
[0] sw_if_index 17, tunnel_id 1, peers count 1/100, P2P
[0] tunnel_id 1, remote_peer_id 0, local_peer_id 3, remote_ep 192.168.250.2:1024, local_ep 192.168.250.1:1024, epoch 0, pipes_count 1, merge_enabled 0, merge_max_length 8000, tos_copy 0, tos_set 0
Peers by id
remote peer id 0 -> index 0
Peers by mac
Tunnels by id
tunnel id 1 -> index 0
vpp#
На данном этапе можно утвердительно сказать, что защищенное соединение установлено и готово для обработки полезной нагрузки.
</WRAP>
Настройка сетевого адреса на VPN интерфейсах
В нашем примере мы протестируем передачу сетевого трафика на примере протокола ICMP. В первую очередь необходимо задать сетевой адрес на интерфейсах VPN, которые являются точками входа в сервис защищенного соединения между устройствами.
Для задания ip адреса на сетевом интерфейсе VPN необходимо в главном меню выбрать пункт “Сетевые настройки - IP адрес”. В таблице “IP адрес” нажать на кнопку “Добавить IP адрес”. В новом окне, в таблице “Настроить IP адрес” в поле Название интерфейса“ необходимо выбрать VPN интерфейс “tap_s”, в поле IP адрес/маска подсети задать сетевой адрес “172.16.16.2/30”. После задания параметров необходимо нажать на кнопку “ОК” и “Сохранить”.
Для проверки связности запустим запустим трафик с использованием протокола ICMP. Для этого необходимо подключиться на “Устройство 1” по протоколу ssh, далее перейти перейти в режим просмотра информации на уровне “data plane” с помощью команды “vppctl” и выполнить команду “ping 172.16.16.1”.
#vppctl vpp# vpp# sh int addr tap_s tap_s (up): L3 172.16.16.2/30 vpp# vpp# ping 172.16.16.1 116 bytes from 172.16.16.1: icmp_seq=2 ttl=64 time=0.6053 ms 116 bytes from 172.16.16.1: icmp_seq=3 ttl=64 time=0.7538 ms 116 bytes from 172.16.16.1: icmp_seq=4 ttl=64 time=0.8537 ms 116 bytes from 172.16.16.1: icmp_seq=5 ttl=64 time=0.7736 ms
Аналогичную проверку можно выполнить с “Устройства 2”.
Проверка защищенного соединения
Чтобы разобраться как передаются данные через служебный канала и канал с полезной нагрузкой, представим себе, что в разрез канала мы подключили дополнительное устройство, на котором осуществляем захват сетевого трафика с помощью утилиты “tcpdump”.
Для захвата сетевого трафика можно использовать такую команду “tcpdump -ni enp0s20f3 host 192.168.250.1”. Если через канала не передается полезная нагрузка, то мы сможем увидеть только каналообразующий трафик, которые идет на сетевой порт 1025 по протоколу UDP и трафик протокола arp.
# tcpdump -ni enp0s20f3 host 192.168.250.1 tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on enp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes 16:30:05.134706 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 <----- каналообразующий трафик 16:30:05.145547 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 <----- каналообразующий трафик 16:30:10.267396 ARP, Request who-has 192.168.250.1 tell 192.168.250.2, length 46 <----- arp протокол 16:30:10.267499 ARP, Reply 192.168.250.1 is-at 00:90:0b:8d:70:e1, length 46 16:30:17.634496 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 16:30:17.634622 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 16:30:23.145028 ARP, Request who-has 192.168.250.2 tell 192.168.250.1, length 46 16:30:23.145105 ARP, Reply 192.168.250.2 is-at 00:90:0b:95:ce:b5, length 46 16:30:30.134277 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 16:30:30.134399 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 16:30:35.356950 ARP, Request who-has 192.168.250.1 tell 192.168.250.2, length 46 16:30:35.357058 ARP, Reply 192.168.250.1 is-at 00:90:0b:8d:70:e1, length 46 16:30:42.634072 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22
Теперь с помощью команды “ping 172.16.16.1 repeat 500” запустим пинг между устройствами через защищенное соединение и осуществить захват сетевого трафика с помощью команды “tcpdump -ni enp0s20f3 host 192.168.250.1”. Каналообразующий трафик передается по порту 1025, полезная нагрузка передается по порту 1024. Обратите внимание, что канал построен с использование ip адресов на интерфейсах устройства, именно их мы и видим при захвате трафика. Исходные адреса из подсети “172.16.16.0/30”, между которыми происходит обмен данными скрыты.
# tcpdump -ni enp0s20f3 host 192.168.250.1 tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on enp0s20f3, link-type EN10MB (Ethernet), snapshot length 262144 bytes 16:34:49.175445 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:49.175553 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:50.172089 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:50.172194 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:51.177408 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:51.177515 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:52.172056 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:52.172171 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:52.629847 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 <----- каналообразующий трафик 16:34:52.629962 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 <----- каналообразующий трафик 16:34:53.178376 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:53.178489 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:54.172034 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:54.172157 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:55.180342 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:55.180456 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:56.171996 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:56.172115 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:57.180308 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:57.180424 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:58.084387 ARP, Request who-has 192.168.250.2 tell 192.168.250.1, length 46 <----- arp протокол 16:34:58.084462 ARP, Reply 192.168.250.2 is-at 00:90:0b:95:ce:b5, length 46 <----- arp протокол 16:34:58.171958 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:58.172075 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:34:59.182265 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:34:59.182372 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:00.171922 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:00.172027 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:01.184237 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:01.184350 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:02.171890 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:02.171999 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:03.171870 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:03.171978 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:04.171861 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:04.171970 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136 16:35:05.129626 IP 192.168.250.1.34309 > 192.168.250.2.1025: UDP, length 22 16:35:05.129741 IP 192.168.250.2.1025 > 192.168.250.1.34309: UDP, length 22 16:35:05.171839 IP 192.168.250.2.1024 > 192.168.250.1.1024: UDP, length 136 16:35:05.171928 IP 192.168.250.1.1024 > 192.168.250.2.1024: UDP, length 136