## 简介通过流量镜像，您可以按自己设定的筛选条件复制网卡的流量，并将复制的流量私网转发到目标服务进行监控分析。 :::tip 复制的流量会占用网卡所在云服务器实例的网络带宽，需要网络带宽足够，流量镜像才不会对业务流量造成影响。请谨慎操作。 ::: ## 应用场景 * **安全审计** 复制业务流量并转发到审计平台，对业务流量进行安全审计，为网络安全事件提供线索和证据，及时发现发现潜在的网络安全威胁行为。 * **入侵检测** 当网络入侵恶意使用计算机和网络资源时，流量监控软件可以对流量镜像复制的流量进行分析，及时修改安全漏洞。 * **问题排查** 当网络流量异常时，可以对流量镜像复制的流量进行分析，更高效地定位到网络异常的云服务器。 ## 组成部分 ### 镜像源镜像源即流量需要被复制的网卡。 ### 筛选条件筛选条件由筛选规则组成。筛选规则的参数说明如下： |参数 |说明 |示例 | |---|---|---| |方向 |选择复制网卡的出方向流量或入方向流量。 |入向 | |优先级 |筛选条件规则的优先级，范围为1～1000。数值越小，优先级越高，即1为最高优先级。同一筛选条件同一方向的优先级唯一。 |1 | |策略 |设置允许或拒绝。允许即复制，拒绝则不复制。 |允许 | |协议 |选择流量的协议，支持ALL、TCP、UDP、ICMP。 |TCP | |源地址和端口 |设置网卡流量的源地址和端口。 |192.168.0.0/12 80 | |目的地址和端口 |设置网卡流量的目的地址的端口。 |192.168.0.66/32 80 | 示例中的入方向规则：192.168.0.0/12内的资源通过80端口以TCP协议访问192.168.0.66的80端口的流量（不含返回数据的流量），会被复制下来转发到镜像目的。 ### 镜像目的镜像目的是收集流量的网卡或负载均衡。镜像目的收到的流量镜像数据包，是经过VXLAN协议封装过的，如下图。 ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_23bcbd3baa2d0a27883befce7b549637.png =714x) VXLAN封装中重要的参数如下： * IP\-UDP： * 源IP：镜像源的主IP地址。 * 目的IP：镜像目的的主IP地址。 * 源端口：火山引擎设置，无特殊意义。 * 目的端口：VXLAN协议固定的4789端口。 * VXLAN header中的VNI：镜像会话的ID号，由用户创建镜像会话时指定，若未指定，则随机分配。详情请参见 [创建镜像会话](https://www.volcengine.com/docs/6401/1158225#%E5%88%9B%E5%BB%BA%E9%95%9C%E5%83%8F%E4%BC%9A%E8%AF%9D) 。更多有关VXLAN协议的信息，请参见 [RFC 7348](https://tools.ietf.org/html/rfc7348) 。 ### 镜像会话镜像会话关联镜像源、镜像目的、筛选条件，使从镜像源复制的流量私网转发到镜像目的，是流量镜像的载体。 #### 流量路径流量路径如下图： ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_9a9b18bc72215818c599ee2989c0aec1.png =834x) 对镜像源网卡的业务流量数据进行筛选后，复制满足筛选条件的流量并进行VXLAN封装，私网转发给镜像目的网卡。通过镜像目的的服务器部署的流量监控软件，对数据包解除VXLAN封装，得到原始的流量数据，并对该数据进行监控分析。 :::tip 云服务器部署的流量监控软件需要支持对数据包进行解除VXLAN封装。 ::: #### 规则匹配说明当镜像源有多个镜像会话、多条筛选规则时，以入方向流量为例（出方向同理），会按以下步骤进行匹配： ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_8f970246133a0c797b505bc1d74839e2.png =821x) 1. 所有的镜像会话按优先级从高到低排序。 2. 镜像会话内的入向筛选规则按优先级从高到低排序。 3. 网卡的流量按照策略、协议、源地址及端口、目的地址及端口从前到后依次匹配规则，若成功匹配某条规则，则会根据规则复制流量或不复制流量，结束匹配操作；若流量匹配不到筛选规则，则不复制该网卡流量。 ## 使用限制 ```mixin-react return ( ### 镜像源 * 镜像源必须是云服务器的主网卡或已挂载至云服务器的辅助网卡。 * 仅支持复制镜像源的IPv4流量。 * 镜像源的安全组和网络ACL需要放通UDP、4789端口的出方向流量。 * 镜像源的路由条目需要支持镜像源私网访问镜像目的。 * 镜像源不会被镜像的流量如下： * 网络ACL、安全组拒绝的流量、流日志的流量。 * 网卡与DNS服务器的流量。 * ARP流量。 * DHCP流量。 * NTP流量。 * 实例元数据的流量。 * 复制的流量会占用镜像源网卡所在云服务器实例的网络带宽。 * 仅如下规格云服务器的主网卡和辅助网卡支持作为镜像源： |**规格介绍** |**说明** | |---|---| |[通用型](https://www.volcengine.com/docs/6396/68527) |g1ie、g3il、g3al | |[计算型](https://www.volcengine.com/docs/6396/68528) |c1ie、c3il、c3al | |[内存型](https://www.volcengine.com/docs/6396/68529) |r1ie、r3il、r3al | |[本地SSD型](https://www.volcengine.com/docs/6396/68530) |i2、i2g | |[大数据型](https://www.volcengine.com/docs/6396/68531) |d2、d2c、d2s | |[高主频型](https://www.volcengine.com/docs/6396/102052) |hfr2、hfg2、hfc2 | |[网络增强型](https://www.volcengine.com/docs/6396/198106) |g2ine | |[突发性能实例](https://www.volcengine.com/docs/6396/124195) |t2 | |[共享型实例](https://www.volcengine.com/docs/6396/176555) |s2 | ### 镜像目的 * 镜像目的必须是私有网络内的网卡（云服务器的主网卡或已挂载的辅助网卡）或者负载均衡，且与镜像源必须所属同一账号。 * 镜像目的的安全组和网络ACL需要放通UDP、4789端口的入方向流量。 * 当镜像目的为负载均衡时，需要配置UDP监听器，放通4789端口。 * 镜像目的对应的云服务器需要安装支持解除VXLAN封装的流量监控软件，才能对流量镜像的流量监控分析。 * 镜像目的不能和镜像源是同一张网卡，也不支持镜像目的作为另外一条镜像会话的镜像源。 ### 其他从镜像源复制的流量报文会进行VXLAN封装，为了保证报文不被截断，建议您遵从如下关系设置网卡的MTU值：镜像源的MTU值 ≤ 镜像会话设置的数据包大小 ≤ 镜像目的的MTU值 \- 50，且镜像会话设置的数据包大小 ≤ 1450。操作请参见 [修改网卡MTU](https://www.volcengine.com/docs/6396/1337285)。 `}> 镜像会话 |**限制项** |**最大值** |**是否支持调整** | |---|---|---| |单账号单地域支持创建的镜像会话数量 |20000 |否 | |单条镜像会话支持关联的镜像源数量 |1个 |否 | |单条镜像会话支持关联的镜像目的数量 |1个 |否 | |单条镜像会话支持关联的筛选条件数量 |1个 |否 | 筛选条件 |**限制项** |**最大值** |**是否支持调整** | |---|---|---| |单账号单地域支持创建的筛选条件数量 |10000 |否 | |单个筛选条件支持关联的镜像会话数量 |2000 |否 | |单个筛选条件单个方向支持添加的筛选规则数量 |10 |否 | 镜像源 |**限制项** |**最大值** |**是否支持调整** | |---|---|---| |单个镜像源支持关联的镜像会话数量 |3 |否 | 镜像目的 |**限制项** |**最大值** |**是否支持调整** | |---|---|---| |单账号单地域支持创建的镜像目的数量 |10000 |否 | |单个镜像目的支持关联的镜像会话数量 |10 |否 | |单个镜像目的支持关联的镜像源数量 |100 |否 | ## `}>); ``` ## 配置流程配置流程如下图所示： ![图片](https://portal.volccdn.com/obj/volcfe/cloud-universal-doc/upload_737c035ff5ae9d87719594cb9fafeaa9.png =365x) 1. [创建镜像目的](https://www.volcengine.com/docs/6401/1158229#%E5%88%9B%E5%BB%BA%E9%95%9C%E5%83%8F%E7%9B%AE%E7%9A%84) 2. [创建筛选条件](https://www.volcengine.com/docs/6401/1158233#%E5%88%9B%E5%BB%BA%E7%AD%9B%E9%80%89%E6%9D%A1%E4%BB%B6) 3. [创建镜像会话](https://www.volcengine.com/docs/6401/1158225#%E5%88%9B%E5%BB%BA%E9%95%9C%E5%83%8F%E4%BC%9A%E8%AF%9D)