使用场景

本方案适用于需要对云主机（ECS）间的互访流量进行安全审计的场景。通过将流量镜像至弹性负载均衡（ELB），再由ELB分发至后端的安全审计集群，实现对业务流量的深度检测与分析。
核心价值：

• 高吞吐扩展：利用ELB的流量分发能力，突破单台审计设备的性能瓶颈，线性扩展镜像流量的处理能力。 

• 高可用：通过多台后端审计服务器（ECS）接收流量，避免单点故障，提升审计系统的可用性。

方案及相关产品

• 虚拟私有云 (VPC)：提供逻辑隔离的网络环境。 

• 流量镜像：负责流量的捕获与转发。 

• 弹性云主机 (ECS)：承载业务应用（ECS-1, ECS-2）及安全审计服务（ECS-3, ECS-4）。 

• 弹性负载均衡 (ELB)：作为镜像流量的汇聚点，负责分发流量。

网络规划与资源配置

1. 基础资源配置

2. 流量镜像配置

（1）筛选条件（Mirror1）

用于精确匹配ECS-1与ECS-2之间的双向流量。

（2）镜像会话（Session1）

• 镜像源：ENI1（ECS-1）、ENI2（ECS-2）

• 镜像目的：弹性负载均衡（elb-test）

• 筛选条件：Mirror1

• VNI：请根据实际情况设置，本示例为10001（用于标识镜像流量，需在后端审计设备配置对应VXLAN隧道）。

3. 弹性负载均衡监听器（listener-1）

• 监听器协议：UDP（由于封装的镜像报文为UDP协议）。

• 全端口监听：关闭。

• 监听器端口：4789（镜像目的接受流量的固定端口为4789）。

• 访问控制：关闭。

4. 弹性负载均衡后端主机组（group-1）

• 后端主机：ECS-3, ECS-4 

• 端口：4789（流量镜像固定使用端口4789） 

• 权重：请根据实际情况设置，本示例为1。 

• 健康检查：关闭（因镜像流量为UDP封装的单向流量，通常不支持健康检查）

操作步骤

步骤一：创建云上VPC资源

1. 创建VPC，具体操作步骤参见创建虚拟私有云VPC

2. 创建子网，具体操作步骤参见 创建子网

3. 购买云主机，具体操作步骤参见 创建弹性云主机

4. 购买弹性负载均衡，具体操作步骤参见 创建独享型负载均衡器。

步骤二：配置弹性负载均衡

1. 配置监听器：创建UDP监听器，具体操作步骤参见 添加UDP监听器。

2. 配置后端服务器组：添加ECS-3和ECS-4为后端服务器，端口设置为4789，具体操作步骤参见 添加或移除后端云主机（独享型）。

步骤 三 ：创建筛选条件及筛选规则

1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东-华东1。

2. 进入 网络 > 虚拟私有云 > 流量镜像 > 筛选条件。

3. 在筛选条件页面，点击“创建筛选条件”，填写名称（Mirror1）及描述。

4. 进入筛选条件的详情页，分别添加出、入方向规则。

具体参数配置信息如下表：

步骤 四 ：创建并启动镜像会话

1. 登录天翼云控制台，在控制中心页面左上角选择区域，本文我们选择华东-华东1。

2. 进入 网络 > 虚拟私有云 > 流量镜像 > 镜像会话，点击“创建镜像会话”。

3. 填写镜像会话的名称（Session1）、VNI（1001），点击”下一步”。

4. 选择筛选条件，这里我们选择已创建的mirror1，点击”下一步”。

5. 选择镜像源，勾选ECS-1和ECS-2对应的网卡（ENI），点击”下一步”。

6. 选择镜像目的：类型选择“弹性负载均衡”，具体实例选择 elb-test，点击”下一步”。

7. 选择我已阅读并同意相关协议，单击“创建”，完成镜像会话的创建。

8. 返回镜像会话列表，找到Session1，在操作列点击“启动”。

验证与排障

1. 流量验证

• 登录后端审计服务器（ECS-3或ECS-4），执行抓包命令验证流量：# 在ECS-3上执行抓包（需root权限） tcpdump -i eth0 -eennvv port 4789 

• 预期结果：能够捕获到源或目的IP为 10.1.1.3/10.1.1.4，且经过VXLAN封装（UDP目标端口4789）的数据包。

2. 常见问题排查