linux - 运行 Web 服务器 (lightttpd) 和 (curl) 客户端的 Linux 服务器上的隔离测试网络

Question

我正在编写一个测试工具，它需要从 NIC 捕获已知流量(使用 libpcap)，然后将其馈送到我们要测试的应用程序中。

我试图设置的是一个网络服务器(在本例中为 lighttpd)和一个在同一台机器上运行的客户端(curl)，在一个隔离的测试网络上。脚本将驱动整个设置，目标是能够指定多个客户端以及一组文件供每个客户端从 Web 服务器下载。

我最初的方法是简单地使用环回 (lo) 接口(interface)...在 127.0.0.1 上运行 Web 服务器，让客户端从 http://127.0.0.1 获取他们的文件，并在 lo 界面上运行我的基于 libpcap 的工具。这工作正常，除了环回接口(interface)不模拟真正的以太网接口(interface)这一事实。这样做的主要问题是数据包的大小都不一致...... 32kbytes 和更大，而且有点随机...... 也不可能降低 lo 上的 MTU(好吧，你可以，但它没有效果!)。

我也尝试在我的真实接口(interface) (eth0) 上运行它，但由于它是一个与内部 Web 服务器通信的内部 Web 客户端，流量永远不会离开接口(interface)，所以 libpcap 永远不会看到它。

然后我转向 tun/tap。我使用 socat 将两个 tun 接口(interface)与一个 tcp 连接绑定(bind)在一起，所以实际上，我有:

10.0.1.1/24 <-> tun0 <-socat-> tcp connection <-socat-> tun1 <-> 10.0.2.1/24

这似乎是一个非常巧妙的解决方案...tun/tap 设备模拟真实的以太网设备，因此我可以在 tun0 (10.0.1.1) 上运行我的网络服务器，在 tun0 上运行我的捕获工具，并将我的客户端绑定(bind)到 tun1 ( 10.0.2.1)...我什至可以使用 tc 将整形规则应用于此流量并在我的 linux 机器中创建一个虚拟 WAN...但它就是行不通...

以下是我使用的 socat 命令:

$ socat -d TCP-LISTEN:11443,reuseaddr TUN:10.0.1.1/24,up &
$ socat TCP:127.0.0.1:11443 TUN:10.0.2.1/24,up &

这会产生 2 个 tun 接口(interface)(tun0 和 tun1)，以及它们各自的 IP 地址。

如果我运行 ping -I tun1 10.0.1.1，没有响应，但是当我运行 tcpdump -n -i tun0 时，我看到 ICMP 回显请求它到另一边，只是没有返回响应的迹象。

# tcpdump -i tun0 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 65535 bytes
16:49:16.772718 IP 10.0.2.1 > 10.0.1.1: ICMP echo request, id 4062, seq 5, length 64
<--- insert sound of crickets here (chirp, chirp)

那么我是不是遗漏了一些明显的东西，或者这是错误的方法？还有什么我可以尝试的吗(例如 2 个物理接口(interface)，eth0 和 eth1？？？)。

最简单的方法是只使用 2 台机器，但我希望所有这些都是独立的，所以它可以在一台机器上编写脚本和自动化，没有其他依赖......

更新:

不需要将 2 个 socat 连接到 tcp 连接，这样做是可能的(并且对我来说更可取):

socat TUN:10.0.1.1/24,up TUN:10.0.2.1/24,up &

同样的问题仍然存在......

Answer 1

好的，所以我找到了一个使用 Linux 网络 namespace (netns) 的解决方案。这里有一篇关于如何使用它的有用文章:http://code.google.com/p/coreemu/wiki/Namespaces

这就是我为我的设置所做的......

首先，下载并安装 CORE:http://cs.itd.nrl.navy.mil/work/core/index.php

接下来，运行这个脚本:

#!/bin/sh

core-cleanup.sh > /dev/null 2>&1
ip link set vbridge down > /dev/null 2>&1
brctl delbr vbridge > /dev/null 2>&1

# create a server node namespace container - node 0
vnoded -c /tmp/n0.ctl -l /tmp/n0.log -p /tmp/n0.pid > /dev/null
# create a virtual Ethernet (veth) pair, installing one end into node 0
ip link add name veth0 type veth peer name n0.0
ip link set n0.0 netns `cat /tmp/n0.pid`
vcmd -c /tmp/n0.ctl -- ip link set n0.0 name eth0
vcmd -c /tmp/n0.ctl -- ifconfig eth0 10.0.0.1/24 up

# start web server on node 0
vcmd -I -c /tmp/n0.ctl -- lighttpd -f /etc/lighttpd/lighttpd.conf

# create client node namespace container - node 1
vnoded -c /tmp/n1.ctl -l /tmp/n1.log -p /tmp/n1.pid > /dev/null
# create a virtual Ethernet (veth) pair, installing one end into node 1
ip link add name veth1 type veth peer name n1.0
ip link set n1.0 netns `cat /tmp/n1.pid`
vcmd -c /tmp/n1.ctl -- ip link set n1.0 name eth0
vcmd -c /tmp/n1.ctl -- ifconfig eth0 10.0.0.2/24 up

# bridge together nodes using the other end of each veth pair
brctl addbr vbridge
brctl setfd vbridge 0
brctl addif vbridge veth0
brctl addif vbridge veth1
ip link set veth0 up
ip link set veth1 up
ip link set vbridge up

这基本上在您的 Linux 主机上设置了 2 个虚拟/隔离/ namespace 网络，在本例中为节点 0 和节点 1。网络服务器在节点 0 上启动。

您现在需要做的就是在节点 1 上运行 curl:

vcmd -c /tmp/n1.ctl -- curl --output /dev/null http://10.0.0.1

并使用 tcpdump 监控流量:

tcpdump -s 1514 -i veth0 -n

这似乎工作得很好......仍在试验中，但看起来它会解决我的问题。