简介
私有网络提供流量镜像能力。通过流量镜像,您可以按需复制指定网卡的流量,并私网转发到目标网卡或负载均衡进行监控分析。
应用场景
安全审计
复制业务流量并转发到审计平台,对业务流量进行安全审计,为网络安全事件提供线索和证据,及时发现发现潜在的网络安全威胁行为。入侵检测
当网络入侵恶意使用计算机和网络资源时,流量监控软件可以对流量镜像复制的流量进行分析,及时修改安全漏洞。问题排查
当网络流量异常时,可以对流量镜像复制的流量进行分析,更高效地定位到网络异常的云服务器。
组成部分
镜像源
镜像源即流量需要被复制的网卡。
筛选条件
筛选条件由筛选规则组成。筛选规则的参数说明如下:
| 参数 | 说明 | 示例 |
|---|---|---|
| 方向 | 选择复制网卡的出方向流量或入方向流量。 | 入向 |
| 优先级 | 筛选条件规则的优先级,范围为1~1000。数值越小,优先级越高,即1为最高高优先级。同一筛选条件同一方向的优先级唯一。 | 1 |
| 策略 | 设置允许或拒绝。允许即复制,拒绝则不复制。 | 允许 |
| 协议 | 选择流量的协议,支持ALL、TCP、UDP、ICMP。 | TCP |
| 源地址和端口 | 设置网卡流量的源地址和端口。 | 192.168.0.0/12 80 |
| 目的地址和端口 | 设置网卡流量的目的地址的端口。 | 192.168.0.66/32 80 |
示例中的入方向规则:192.168.0.0/12内的资源通过80端口以TCP协议访问192.168.0.66的80端口的流量(不含返回数据的流量),会被复制下来转发到镜像目的。
镜像目的
镜像目的是收集流量的网卡或负载均衡。
镜像目的收到的流量镜像数据包,是经过VXLAN协议封装过的,如下图。
VXLAN封装中重要的参数如下:
IP-UDP:
- 源IP:镜像源的主IP地址。
- 目的IP:镜像目的的主IP地址。
- 源端口:火山引擎设置,无特殊意义。
- 目的端口:VXLAN协议固定的4789端口。
VXLAN header中的VNI:镜像会话的ID号,由用户创建镜像会话时指定,若未指定,则随机分配。详情请参见 创建镜像会话 。
更多有关VXLAN协议的信息,请参见 RFC 7348 。
镜像会话
镜像会话关联镜像源、镜像目的、筛选条件,使从镜像源复制的流量私网转发到镜像目的,是流量镜像的载体。
流量路径
流量路径如下图:
对镜像源网卡的业务流量数据进行筛选后,复制满足筛选条件的流量并进行VXLAN封装,私网转发给镜像目的网卡。通过镜像目的的服务器部署的流量监控软件,对数据包解除VXLAN封装,得到原始的流量数据,并对该数据进行监控分析。
说明
云服务器部署的流量监控软件需要支持对数据包进行解除VXLAN封装。
规则匹配说明
当镜像源有多个镜像会话、多条筛选规则时,以入方向流量为例(出方向同理),会按以下步骤进行匹配:
- 所有的镜像会话按优先级从高到低排序。
- 镜像会话内的入向筛选规则按优先级从高到低排序。
- 网卡的流量按照策略、协议、源地址及端口、目的地址及端口从前到后依次匹配规则,若成功匹配某条规则,则会根据规则复制流量或不复制流量,结束匹配操作;若流量匹配不到筛选规则,则不复制该网卡流量。
配置流程
配置流程如下图所示: