You need to enable JavaScript to run this app.
导航
私有网络
  • 文档首页
    • /私有网络/用户指南/流量镜像/流量镜像概述
流量镜像概述
最近更新时间:2024.10.23 11:54:08首次发布时间:2023.12.05 07:33:05
我的收藏

简介

私有网络提供流量镜像能力。通过流量镜像,您可以按需复制指定网卡的流量,并私网转发到目标网卡或负载均衡进行监控分析。

应用场景

  • 安全审计
    复制业务流量并转发到审计平台,对业务流量进行安全审计,为网络安全事件提供线索和证据,及时发现发现潜在的网络安全威胁行为。

  • 入侵检测
    当网络入侵恶意使用计算机和网络资源时,流量监控软件可以对流量镜像复制的流量进行分析,及时修改安全漏洞。

  • 问题排查
    当网络流量异常时,可以对流量镜像复制的流量进行分析,更高效地定位到网络异常的云服务器。

组成部分

镜像源

镜像源即流量需要被复制的网卡。

筛选条件

筛选条件由筛选规则组成。筛选规则的参数说明如下:

参数说明示例
方向选择复制网卡的出方向流量或入方向流量。入向
优先级筛选条件规则的优先级,范围为1~1000。数值越小,优先级越高,即1为最高高优先级。同一筛选条件同一方向的优先级唯一。1
策略设置允许或拒绝。允许即复制,拒绝则不复制。允许
协议选择流量的协议,支持ALL、TCP、UDP、ICMP。TCP
源地址和端口设置网卡流量的源地址和端口。192.168.0.0/12 80
目的地址和端口设置网卡流量的目的地址的端口。192.168.0.66/32 80

示例中的入方向规则:192.168.0.0/12内的资源通过80端口以TCP协议访问192.168.0.66的80端口的流量(不含返回数据的流量),会被复制下来转发到镜像目的。

镜像目的

镜像目的是收集流量的网卡或负载均衡。
镜像目的收到的流量镜像数据包,是经过VXLAN协议封装过的,如下图。

VXLAN封装中重要的参数如下:

  • IP-UDP:

    • 源IP:镜像源的主IP地址。
    • 目的IP:镜像目的的主IP地址。
    • 源端口:火山引擎设置,无特殊意义。
    • 目的端口:VXLAN协议固定的4789端口。

  • VXLAN header中的VNI:镜像会话的ID号,由用户创建镜像会话时指定,若未指定,则随机分配。详情请参见 创建镜像会话

更多有关VXLAN协议的信息,请参见 RFC 7348

镜像会话

镜像会话关联镜像源、镜像目的、筛选条件,使从镜像源复制的流量私网转发到镜像目的,是流量镜像的载体。

流量路径

流量路径如下图:

对镜像源网卡的业务流量数据进行筛选后,复制满足筛选条件的流量并进行VXLAN封装,私网转发给镜像目的网卡。通过镜像目的的服务器部署的流量监控软件,对数据包解除VXLAN封装,得到原始的流量数据,并对该数据进行监控分析。

说明

云服务器部署的流量监控软件需要支持对数据包进行解除VXLAN封装。

规则匹配说明

当镜像源有多个镜像会话、多条筛选规则时,以入方向流量为例(出方向同理),会按以下步骤进行匹配:

  1. 所有的镜像会话按优先级从高到低排序。
  2. 镜像会话内的入向筛选规则按优先级从高到低排序。
  3. 网卡的流量按照策略、协议、源地址及端口、目的地址及端口从前到后依次匹配规则,若成功匹配某条规则,则会根据规则复制流量或不复制流量,结束匹配操作;若流量匹配不到筛选规则,则不复制该网卡流量。

使用限制

分为功能限制和配额限制,具体如下:

镜像源

  • 镜像源必须是云服务器的主网卡或已挂载至云服务器的辅助网卡。

  • 仅支持复制镜像源的IPv4流量。

  • 镜像源的安全组和网络ACL需要放通UDP、4789端口的出方向流量。

  • 镜像源的路由条目需要支持镜像源私网访问镜像目的。

  • 镜像源不会被镜像的流量如下:

    • 网络ACL、安全组拒绝的流量、流日志的流量。
    • 网卡与DNS服务器的流量。
    • ARP流量。
    • DHCP流量。
    • NTP流量。
    • 实例元数据的流量。

  • 复制的流量会占用镜像源网卡所在云服务器实例的网络带宽。

  • 仅如下规格云服务器的主网卡和辅助网卡支持作为镜像源:

    规格介绍说明
    通用型g1ie、g3il、g3al
    计算型c1ie、c3il、c3al
    内存型r1ie、r3il、r3al
    本地SSD型i2、i2g
    大数据型d2、d2c、d2s
    高主频型hfr2、hfg2、hfc2
    网络增强型g2ine
    突发性能实例t2
    共享型实例s2

镜像目的

  • 镜像目的必须是私有网络内的网卡(云服务器的主网卡或已挂载的辅助网卡)或者负载均衡,且与镜像源必须所属同一账号。
  • 镜像目的的安全组和网络ACL需要放通UDP、4789端口的入方向流量。
  • 当镜像目的为负载均衡时,需要配置UDP监听器,放通4789端口。
  • 镜像目的对应的云服务器需要安装支持解除VXLAN封装的流量监控软件,才能对流量镜像的流量监控分析。
  • 镜像目的不能和镜像源是同一张网卡,也不支持镜像目的作为另外一条镜像会话的镜像源。

其他

从镜像源复制的流量报文会进行VXLAN封装,为了保证报文不被截断,建议您遵从如下关系设置网卡的MTU值:
镜像源的MTU值 ≤ 镜像会话设置的数据包大小 ≤ 镜像目的的MTU值 - 50,且镜像会话设置的数据包大小 ≤ 1450。

配置流程

配置流程如下图所示:

  1. 创建镜像目的
  2. 创建筛选条件
  3. 创建镜像会话