流量镜像配置示例
更新时间 2025-05-16 11:34:14
最近更新时间: 2025-05-16 11:34:14
使用场景
VPC与云下IDC的互连,进行东西向流量的入侵检测。
核心价值 :实现双向流量(IDC↔ECS)实时镜像,支持威胁检测平台进行深度流量分析
方案涉及产品
- VPC :逻辑隔离网络环境
- 流量镜像 :流量捕获与转发核心组件
- 云专线 :混合云互联通道
- 云主机 :承载业务应用(ECS1/ECS2)
- 弹性裸金属 :部署威胁检测平台(Pm1)
方案架构
实现方式
1. 基础资源配置
(1)云上网络规划
| 资源类型 | 名称 | 关键参数 |
|---|---|---|
| VPC | VPC1 | IPv4:10.1.0.0/16 |
| 子网 | 子网1 | IPv4:10.1.1.0/24 |
| VPC | VPC2 | IPv4:10.2.0.0/16 |
| 子网 | 子网2 | IPv4:10.2.1.0/24 |
(2)线下IDC配置
- 客户侧子网:172.168.1.0/24
2. 流量镜像配置
(1)筛选条件(Mirror1)
入方向规则:
- IP范围:源IP 172.168.1.0/24
- 协议:ALL
- 动作:采集
出方向规则:
- IP范围:目的IP 172.168.1.0/24
- 协议:ALL
- 动作:采集
(2)镜像会话(Session1)
- 镜像源:ENI1(ECS1)、ENI2(ECS2)
- 镜像目的:ENI3(Pm1)
- 筛选条件:Mirror1
- VNI:10001
3. 安全组配置(Pm1)
入方向规则(UDP 4789):
- 协议:UDP
- 端口:4789
- 策略:允许
操作步骤
步骤一:创建云上VPC环境
配置云专线需要做好云上VPC和本地数据中心的网段规划,具体操作步骤参见创建VPC
步骤二:开通云专线
-
云专线的开通参见开通云专线。
-
专线网关添加客户侧路由,点击专线网关名称,在客户侧路由页签下,点击添加路由,配置如下:
- IP类型:可选择IPv4、IPv6和双栈
- 客户侧子网段:客户侧子网网段
- 路由模式:静态或BGP
- 绑定入云物理专线,并设置物理专线优先级
-
配置完成,点击确定,完成专线网关客户侧路由。
-
专线网关添加VPC,点击专线网关名称,在VPC页签下,点击“添加VPC”,配置如下:
- VPC实例类型:同账号
- VPC:在下拉框中选中已创建的VPC(VPC1)
- VPC ID:根据VPC名称自动生成
- VPC网段:选择指定的VPC网段(10.1.0.0/16)
- 类型:可选择IPv4、IPv6和双栈
- 子网:选定VPC中的中转网段(10.1.1.0/24)
- 权重:表示当前专线网关到VPC侧路由的权重,多条路由的权重相等时采用负载均衡模式进行流量传输;某条路由的权重值越大,表示该路由优先级越高,可选择0-100
-
配置完成,点击确定,完成添加VPC。
-
VPC添加完成,客户侧子网将自动发布到VPC默认路由表中。下一跳为云专线网关,下一跳地址为专线网关名称,目的地址为客户侧子网网段。
-
配置完成,点击确定,完成添加。
步骤 三 :创建筛选规则
- 登录天翼云控制台,在控制中心页面左上角选择区域,本文我们选择华东-华东1。
- 依次选择“网络”,单击“虚拟私有云”;进入网络控制台页面。
- 在左侧导航栏,选择“流量镜像-筛选条件”选项。
- 在筛选条件页面,点击右上角的“创建筛选条件”按钮。
- 在创建筛选条件弹窗中,填写筛选条件的名称和描述。
- 进入对应筛选条件的详情页,添加入方向规则。
- 进入对应筛选条件的详情页,添加出方向规则。
步骤 四 :购买镜像会话
- 登录天翼云控制台,在控制中心页面左上角选择区域,本文我们选择华东-华东1。
- 依次选择“网络”,单击“虚拟私有云”;进入网络控制台页面。
- 在左侧导航栏,选择“流量镜像-镜像会话”选项。
- 在镜像会话页面,点击右上角的“创建镜像会话”按钮。
- 在创建镜像会话界而中,填写镜像会话的名称、VNI和描述,点击”下一步”。
- 选择筛选条件,这里我们选择已创建的mirror1,点击”下一步”。
- 选择镜像源,这里我们选择ENI1和ENI2,点击”下一步”。
- 选择镜像目的,这里我们选择ENI3,点击”下一步”。
- 选择我已阅读并同意相关协议,单击“创建”,完成镜像会放的创建。
步骤五:配置镜像目的安全组
- 登录天翼云控制台,在控制中心页面左上角选择区域,本文我们选择华东-华东1。
- 依次选择“网络”,单击“虚拟私有云”;进入网络控制台页面。
- 在左侧导航栏,选择“访问控制-安全组”选项。
- 在安全组列表页面,找到您需要添加规则的安全组名称,点击安全组名称,进入安全组详情页。
- 点击“添加规则”,根据界面提示配置安全组规则,确定授权策略、优先级、协议类型、端口范围、源/目的地址等信息。
具体参数配置信息如下表:
| 参数 | 说明 | 取值样例 |
|---|---|---|
| IP版本 | IPv4、IPv6 | IPv4 |
| 授权策略 | 允许、拒绝 | 允许 |
| 优先级 | 安全组规则优先级可选范围为1-100,默认值为1,即最高优先级。优先级数字越小,级别越高。优先级相同的情况下,拒绝策略优先于允许策略。 | 1 |
| 协议 | 网络协议,取值范围为:TCP,UDP,ICMP,Any。 | UDP |
| 端口范围 | 安全组规则的端口范围,取值范围为:1~65535。支持同时输入多个端口,以英文逗号分隔。多个端口值按照多条规则分别下发,占用多个配额。 | 4789 |
| 源地址/目的地址 | 源地址/目的地址支持类型:IP地址、安全组、前缀列表。支持同时输入多个IP地址/安全组/前缀列表,按照多条规则分别下发,占用多个配额。 | 10.2.1.1/32 |
| 描述 | 安全组规则的描述信息,非必填项。 |
- 点击“确认”按钮。
步骤六: 启动镜像会话功能
- 登录天翼云控制台,在控制中心页面左上角选择区域,本文我们选择华东-华东1。
- 依次选择“网络”,单击“虚拟私有云”;进入网络控制台页面。
- 在左侧导航栏,选择“流量镜像-镜像会话”选项。
- 在镜像会话页面,找到需要启动的镜像会话,然后单击该会话操作列的“启动”按钮。
验证与排障
1. 流量捕获验证
登录弹性裸金属(pm1),查看镜像目的是否可以获取到镜像源与线下IDC互通的数据包,如果获取成功,则表示镜像会话配置生效。
比如:
# 在Pm1执行抓包(需root权限) tcpdump -i eth0 -eennvv port 4789
成功标志 :持续捕获到内层源or目的IP为172.168.1.x,外层是VXLAN封装的UDP报文。
2. 常见问题排查
| 现象 | 可能原因 | 解决方案 |
|---|---|---|
| 无镜像流量 | 筛选条件配置错误 | 核对待镜像报文的五元组信息 |
| 目的端无法接收 | 安全组未放行UDP 4789 | 检查入方向规则配置 |
