将源弹性网卡的入方向TCP/UDP流量镜像到不同的目的弹性网卡
方案架构
- 镜像会话mirror-session-01:
- 镜像源是ECS-source的弹性网卡-s,表示需要镜像弹性网卡-s入方向的TCP流量。
- 镜像目的是ECS-target-01的弹性网卡-t01,表示将弹性网卡-s入方向的TCP流量镜像到弹性网卡-t01中。
- 镜像会话的筛选条件mirror-filter-01中,需要添加采集入方向TCP流量的规则。
- 镜像会话mirror-session-02:
- 镜像源是ECS-source的弹性网卡-s,表示需要镜像弹性网卡-s入方向的UDP流量。
- 镜像目的是ECS-target-02的弹性网卡-t02,表示将弹性网卡-s入方向的UDP流量镜像到弹性网卡-t02中。
- 镜像会话的筛选条件mirror-filter-02中,需要添加采集入方向UDP流量的规则。
约束与限制
关于流量镜像的使用限制,具体请查看流量镜像的使用限制。
资源规划说明
以下资源规划详情仅为示例,您可以根据需要自行修改。
资源类型 |
资源数量 |
说明 |
---|---|---|
虚拟私有云VPC和子网 |
VPC:1 子网:2 |
|
弹性云服务器ECS |
4 |
本示例中,共需要四个ECS,配置说明如下:
|
弹性公网IP |
1 |
|
筛选条件 |
2 |
|
镜像会话 |
2 |
1个采集TCP流量的镜像会话:
1个采集UDP流量的镜像会话:
|
方向 |
策略 |
类型 |
协议端口 |
源地址/目的地址 |
描述 |
---|---|---|---|---|---|
入方向 |
允许 |
IPv4 |
TCP: 22 |
源地址:0.0.0.0/0 |
放通安全组内ECS的SSH(22)端口,用于远程登录Linux ECS。 |
入方向 |
允许 |
IPv4 |
TCP: 3389 |
源地址:0.0.0.0/0 |
放通安全组内ECS的RDP(3389)端口,用于远程登录Windows ECS。 |
入方向 |
允许 |
IPv4 |
全部 |
源地址:当前安全组Sg-X |
针对IPv4,用于安全组内ECS之间网络互通。 |
入方向 |
允许 |
IPv6 |
全部 |
源地址:当前安全组Sg-X |
针对IPv6,用于安全组内ECS之间网络互通。 |
出方向 |
允许 |
IPv4 |
全部 |
目的地址:0.0.0.0/0 |
针对IPv4,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |
出方向 |
允许 |
IPv6 |
全部 |
目的地址:::/0 |
针对IPv6,用于安全组内ECS访问外部,允许流量从安全组内ECS流出。 |
本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部IP远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源IP设置为已知的IP地址,比如设置为您的本地PC地址。
方向 |
策略 |
类型 |
协议端口 |
源地址 |
描述 |
---|---|---|---|---|---|
入方向 |
允许 |
IPv4 |
TCP: 1234 |
访问镜像源的测试ECS的地址,本示例为ECS-test的私有IP地址: 192.168.0.161/32 |
针对IPv4,允许来自ECS-test的TCP协议报文访问镜像源ECS-source的1234端口。 |
入方向 |
允许 |
IPv4 |
UDP: 1235 |
访问镜像源的测试ECS的地址,本示例为ECS-test的私有IP地址: 192.168.0.161/32 |
针对IPv4,允许来自ECS-test的UDP协议报文访问镜像源ECS-source的1235端口。 |
方向 |
策略 |
类型 |
协议端口 |
源地址 |
描述 |
---|---|---|---|---|---|
入方向 |
允许 |
IPv4 |
UDP: 4789 |
镜像源的地址,本示例为ECS-source的私有IP地址: 192.168.0.230/32 |
针对IPv4,允许来自镜像源ECS-source封装的UDP协议报文访问镜像目的ECS-target-01的4789端口。 |
名称 |
方向 |
优先级 |
协议 |
策略 |
类型 |
源地址 |
源端口范围 |
目的地址 |
目的端口范围 |
---|---|---|---|---|---|---|---|---|---|
mirror-filter-01 |
入方向 |
1 |
TCP |
采集 |
IPv4 |
报文的来源地址,本示例为ECS-test的私有IP地址: 192.168.0.161/32 |
全部 |
报文的目的地址,本示例为ECS-source的私有IP地址: 192.168.0.230/32 |
本示例为ECS-source的1234端口: 1234-1234 |
mirror-filter-02 |
入方向 |
1 |
UDP |
采集 |
IPv4 |
报文的来源地址,本示例为ECS-test的私有IP地址: 192.168.0.161/32 |
全部 |
报文的目的地址,本示例为ECS-source的私有IP地址: 192.168.0.230/32 |
本示例为ECS-source的1235端口: 1235-1235 |
步骤一:创建云服务资源
- 创建1个VPC和2个子网。
具体方法请参见创建虚拟私有云和子网。
- 创建4个ECS。
具体方法请参见自定义购买ECS。
- 申请弹性公网IP。
具体方法请参见购买弹性公网IP。
步骤三:安装NC工具模拟数据流量
本文使用NC工具模拟数据流量,NC工具是一个通过TCP/UDP协议在网络中读写数据的工具,常用于网络端口测试等,需要在ECS-source和ECS-test中安装NC工具。
- 在ECS-source中安装NC工具。
- 下载NC工具需要连接公网,将EIP绑定至ECS-source。
具体方法请参见绑定弹性公网IP。
- 远程登录ECS-source。
ECS有多种登录方法,具体请参见登录弹性云服务器。
- 依次执行以下命令,安装NC工具。
回显类似如下信息:
[root@ecs-source ~]# sudo yum update HCE 2.0 base 55 MB/s | 6.1 MB 00:00 HCE 2.0 updates 98 MB/s | 14 MB 00:00 Last metadata expiration check: 0:00:01 ago on Tue 10 Sep 2024 05:54:28 PM CST. Dependencies resolved. Nothing to do. Complete!
sudo yum install nc
回显类似如下信息,请根据回显提示输入y,并按回车。[root@ecs-source ~]# sudo yum install nc Last metadata expiration check: 0:00:12 ago on Tue 10 Sep 2024 05:54:28 PM CST. Dependencies resolved. ... Install 2 Packages Total download size: 6.1 M Installed size: 25 M Is this ok [y/N]: y Downloading Packages: ... Importing GPG key 0xA8DEF926: Userid : "HCE <support@huaweicloud.com>" Fingerprint: C1BA 9CD4 9D03 A206 E241 F176 28DA 5B77 A8DE F926 From : http://repo.huaweicloud.com/hce/2.0/updates/RPM-GPG-KEY-HCE-2 Is this ok [y/N]: y ... Installed: libssh2-1.10.0-2.r10.hce2.x86_64 nmap-2:7.92-2.r4.hce2.x86_64 Complete!
- ECS-source的NC工具安装完成后,解绑EIP。
具体方法请参见解绑弹性公网IP。
- 下载NC工具需要连接公网,将EIP绑定至ECS-source。
- 参考1.a~1.d,在ECS-test中安装NC工具,并解绑EIP。
- EIP解绑后,删除EIP。
本示例中不再需要使用EIP,因此删除EIP,具体方法请参见解绑弹性公网IP。如果不删除EIP,则EIP会持续计费。
步骤四:验证采集TCP流量的镜像会话是否生效
- 执行以下操作,建立ECS-source和ECS-test之间的TCP连接。
本文在ECS-test向ECS-source发送TCP报文,查看ECS-source是否可以收到该报文。
- 在ECS-source中,执行以下命令,开启1234端口的监听。
命令示例:
nc -l 1234
此处回显为空,表示监听已正常开启。
- 在ECS-test中,执行以下命令,建立ECS-source和ECS-test之间的TCP连接。
nc 镜像源ECS-source的私有IP地址 镜像源ECS-source的监听端口
命令示例:
nc 192.168.0.230 1234
此处回显为空,在ECS-test中,输入任意信息(比如hello),并按回车,测试TCP连接是否建立成功。[root@ecs-test ~]# nc 192.168.0.230 1234 hello
- 在ECS-source中,查看是否收到来自ECS-test的信息。
- 在ECS-source中,执行以下命令,开启1234端口的监听。
- 执行以下操作,测试ECS-source入方向的TCP报文是否可以镜像到ECS-target-01。
当ECS-test实时向镜像源ECS-source发送TCP报文时,通过TCPDUMP工具,查看镜像目的ECS-target-01是否可以获取到该报文的数据包,如果获取成功,则表示镜像会话配置生效。
- 远程登录ECS-target-01。
ECS有多种登录方法,具体请参见登录弹性云服务器。
- 在ECS-target-01中,执行以下命令,查看镜像目的对应的网卡名称。
回显类似如下信息,本示例中镜像目的对应的网卡名称为eth0。
[root@ecs-target-01 ~]# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.0.164 netmask 255.255.255.0 broadcast 192.168.0.255 inet6 fe80::f816:3eff:fe7e:d67a prefixlen 64 scopeid 0x20<link> ether fa:16:3e:7e:d6:7a txqueuelen 1000 (Ethernet) RX packets 283560 bytes 116380316 (110.9 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 276486 bytes 104575280 (99.7 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ...
- 在ECS-target-01中,执行以下命令,通过TCPDUMP工具观察数据包获取情况。
tcpdump -i 镜像目的对应的网卡名称 udp port 4789 -nne
命令示例:
tcpdump -i eth0 udp port 4789 -nne
回显类似如下信息:[root@ecs-target-01 ~]# tcpdump -i eth0 udp port 4789 -nne dropped privs to tcpdump tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
- 在ECS-test中,输入任意信息(比如tcp),并按回车,向ECS-source发送TCP报文。
回显类似如下信息:
[root@ecs-test ~]# nc 192.168.0.230 1234 hello tcp
- 在ECS-source中,查看是否收到来自ECS-test的信息。
- 在ECS-target-01中,查看是否可以获取到报文的数据包。
回显类似如下信息,可以看到TCPDUMP工具启动后,ECS-test发送的信息tcp对应的数据包。其中,vni 1为镜像会话mirror-session-01的标识,表示通过mirror-session-01,ECS-target-01可成功获取到数据包,数据包内容分为两部分,一部分是流量镜像封装的VXLAN报文,一部分是原始报文,详细说明请参见表6。
[root@ecs-target-01 ~]# tcpdump -i eth0 udp port 4789 -nne dropped privs to tcpdump tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes 12:04:54.038631 fa:16:3e:d1:6b:5d > fa:16:3e:7e:d6:7a, ethertype IPv4 (0x0800), length 120: 192.168.0.230.32782 > 192.168.0.164.4789: VXLAN, flags [I] (0x08), vni 1 fa:16:3e:7e:d6:77 > fa:16:3e:7e:d6:bc, ethertype IPv4 (0x0800), length 70: 192.168.0.161.55602 > 192.168.0.230.1234: Flags [P.], seq 1838246001:1838246005, ack 2529760424, win 502, options [nop,nop,TS val 1116821333 ecr 752395830], length 4
- 远程登录ECS-target-01。
步骤五:验证采集UDP流量的镜像会话是否生效
- 执行以下操作,建立ECS-source和ECS-test之间的UDP连接。
本文在ECS-test向ECS-source发送UDP报文,查看ECS-source是否可以收到该报文。
- 在ECS-source中,执行以下命令,开启1235端口的监听。
命令示例:
nc -ul 1235
此处回显为空,表示监听已正常开启。
- 在ECS-test中,执行以下命令,建立ECS-source和ECS-test之间的UDP连接。
nc 镜像源ECS-source的私有IP地址 镜像源ECS-source的监听端口 -u
命令示例:
nc 192.168.0.230 1235 -u
此处回显为空,在ECS-test中,输入任意信息(比如hello),并按回车,测试UDP连接是否建立成功。[root@ecs-test ~]# nc 192.168.0.230 1235 -u hello
- 在ECS-source中,查看是否收到来自ECS-test的信息。
- 在ECS-source中,执行以下命令,开启1235端口的监听。
- 执行以下操作,测试ECS-source入方向的UDP报文是否可以镜像到ECS-target-02。
当ECS-test实时向镜像源ECS-source发送UDP报文时,通过TCPDUMP工具,查看镜像目的ECS-target-02是否可以获取到该报文的数据包,如果获取成功,则表示镜像会话配置生效。。
- 远程登录ECS-target-02。
ECS有多种登录方法,具体请参见登录弹性云服务器。
- 在ECS-target-02中,执行以下命令,查看镜像目的对应的网卡名称。
回显类似如下信息,本示例中镜像目的对应的网卡名称为eth0。
[root@ecs-target-02 ~]# ifconfig eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.165 netmask 255.255.255.0 broadcast 192.168.1.255 inet6 fe80::f816:3eff:fe7e:d77b prefixlen 64 scopeid 0x20<link> ether fa:16:3e:7e:d7:7b txqueuelen 1000 (Ethernet) RX packets 81142 bytes 112091279 (106.8 MiB) RX errors 0 dropped 0 overruns 0 frame 0 TX packets 11848 bytes 2318498 (2.2 MiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 ...
- 在ECS-target-02中,执行以下命令,通过TCPDUMP工具观察数据包获取情况。
tcpdump -i 镜像目的对应的网卡名称 udp port 4789 -nne
命令示例:
tcpdump -i eth0 udp port 4789 -nne
回显类似如下信息:[root@ecs-target-02 ~]# tcpdump -i eth0 udp port 4789 -nne dropped privs to tcpdump tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
- 在ECS-test中,输入任意信息(比如udp),并按回车,向ECS-source发送UDP报文。
回显类似如下信息:
[root@ecs-test ~]# nc 192.168.0.230 1235 -u hello udp
- 在ECS-source中,查看是否收到来自ECS-test的信息。
- 在ECS-target-02中,查看是否可以获取到报文的数据包。
回显类似如下信息,可以看到TCPDUMP工具启动后,ECS-test发送的信息udp对应的数据包。其中,vni 2为镜像会话mirror-session-02的标识,表示通过mirror-session-02,ECS-target-02可成功获取到数据包,数据包内容分为两部分,一部分是流量镜像封装的VXLAN报文,一部分是原始报文,详细说明请参见表6。
[root@ecs-target-02 ~]# tcpdump -i eth0 udp port 4789 -nne dropped privs to tcpdump tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes 12:09:36.275574 fa:16:3e:18:32:b8 > fa:16:3e:7e:d7:7b, ethertype IPv4 (0x0800), length 96: 192.168.0.230.32830 > 192.168.1.165.4789: VXLAN, flags [I] (0x08), vni 2 fa:16:3e:7e:d6:77 > fa:16:3e:7e:d6:bc, ethertype IPv4 (0x0800), length 46: 192.168.0.161.46546 > 192.168.0.230.1235: UDP, length 4
- 远程登录ECS-target-02。