流量镜像
功能用途
流量镜像功能可以将指定网口上符合筛选条件的报文复制并转发到目的地。
目的地可以是站点的网口,也可以是本地局域网的IP地址或者外部网络的IP地址。
面向场景
- 安全监测:对网络安全要求较高的场景,将流量镜像到安全平台进行分析,实现对恶意流量的检测。
- 合规审计:对于合规性有要求业务,将流量镜像到审计平台,满足审计需求。
- 运维排障:借助流量镜像,运维工程师可以通过报文分析来排查问题,避免运维期间可能对业务造成的影响。
工作流程
流量镜像的关键组成分为:镜像源、流量过滤器以及镜像目的。
-
镜像源:镜像源当前支持站点上的网口。站点可以是部署了vCPE软件的公有云/私有云虚拟机,也可以是SD-WAN路由器。
-
流量过滤器:用于筛选流量,符合条件的才会被发送到镜像目的。
-
镜像目的:镜像流量的接收端。接收端可以是本机镜像源以外的网口、本地服务器以及远程服务器。
配置说明
[路由器配置]/[站点配置] → [流量调度] → [流量镜像]
| 配置项 | 说明 |
|---|---|
| 配置方式 | 分为“手动配置”和“从模板选择”。“手动配置”即手动填写每一个配置项;“从模板选择”即通过导入提前配置好的流量镜像模板来自动填写配置项。 |
| 镜像源网络接口 | 需要镜像流量的网络接口。 |
| 接收方式 | 选择镜像目的,可选值:网络接口和IP地址。即转发到指定的网口或者IP地址。不同的接收方式,转发的报文封装格式不一样。 |
| 接收网络接口 | 接收端为网口时,报文不做封装,直接原样转发。注,不能选择已被用作镜像源的网口。 |
| 接收IP地址 | 接收端为IP地址时,报文会被封装后再转发。如果是二层可达的IP地址(通常是本地局域网的IP地址),建议选择TEE封装协议,效率更高;如果是路由可达的IP地址(通常是外网地址),必须选择TZSP封装协议。 |
| 流量封装协议 | 当接收端为IP地址,需要将报文封装后才能转发到接收端。可选值:TEE和TZSP。TEE格式是直接修改报文MAC地址,没有额外的报文头开销;TZSP格式为TaZmen Sniffer Protocol,需要为原始报文增加TZSP头后再转发。 |
| 流量过滤器 | 流量过滤器采用pcap-filter语法来定义过滤规则。例如:“(dst host 1.2.4.8) and (ip proto \icmp)” |
使用限制
- 流量镜像功能会消耗主机CPU、带宽等资源,请评估对业务的影响以合理规划资源。
- 同一个网口不能同时作为镜像源和镜像目的。
- 仅支持IPv4的流量,暂不支持IPv6。
- 如果转发报文选择TZSP格式,当原始报文长度超过1440字节时,原始报文将会被分片,确保在新的分片加上TZSP头后不超过链路默认MTU。
最后更新于