我有一台运行 Lubuntu 的服务器,IP 为 192.168.1.11/24。DHCP 服务器正在运行并为整个子网分配 IP。
192.168.1.1 是我的家庭路由器,它将所有其他流量路由到 192.168.0.1,这是我的 ISP 的路由器。
一切都按预期进行,路由命令给了我
Destination Gateway Genmask Flags Metric Ref Use Iface
default router.asus.com 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
因此所有流量都通过 192.168.1.1 路由。
现在我尝试在服务器上设置第二个 NIC。此 NIC 的唯一任务是为 192.168.0.0/24 子网分配 DHCP 地址,仅此而已。
我的问题:一旦我将静态 IP 地址配置为 192.168.0.2,路由表就会更新:
Destination Gateway Genmask Flags Metric Ref Use Iface
default 192.168.1.1 0.0.0.0 UG 100 0 0 enp0s31f6
192.168.0.0 * 255.255.255.0 U 100 0 0 enx00e04c20e315
192.168.1.0 * 255.255.255.0 U 100 0 0 enp0s31f6
这当然是有道理的,因为 enx00e04c20e315 现在属于 192.168.0.0/24 子网,而且对于该子网使用该路由肯定速度更快。
我尝试手动删除该路线但失败了。
我如何配置 enx00e04c20e315 以仅处理 DHCP 请求并仍通过 enp0s31f6 路由所有其他流量?
背景
这个设置可能有点奇怪,所以让我先介绍一下背景。我使用 VLAN 来分离网络。有一个默认的 VLAN 1,大多数端口都在那里。然后有一个用于 WAN 的 VLAN 2。只有我的路由器 WAN 端口和 ISP 路由器属于 VLAN 2。
我正在尝试在路由器上设置访客 WLAN。要实现此功能,路由器的 WAN 端需要有一台 DHCP 服务器,也就是 VLAN 2。这就是我设置第二个 NIC 并将其添加到 VLAN 2 的原因。现在,如果有访客设备连接,它应该从服务器获取 DHCP 地址并直接通过 192.168.0.1,而无需到达内部网络。
多谢
答案1
实现此目的的一种方法是,在系统上的虚拟机中设置 DHCP 服务器,并将第二个 NIC 桥接到虚拟机。为该虚拟机分配 192.168.0.0/24 网络上的 IP 地址。它将能够在该网络上分配地址,但会保留一些与主网络的安全隔离。您可以将 NIC 桥接到虚拟机,而无需为其分配 IP 地址,从而将其排除在主机路由表之外。
请注意,这仍然不是完全安全的,因为您的主系统仍然容易受到来自来宾网络的第 2 层攻击,并且如果存在虚拟机管理程序错误,对虚拟机的攻击可能会破坏虚拟机。这些考虑因素对您有多重要取决于您试图使其有多安全。