虚拟机流量镜像介绍

最新推荐文章于 2025-03-22 17:17:52 发布
最新推荐文章于 2025-03-22 17:17:52 发布
阅读量908 收藏 8
点赞数 24
文章标签: php 服务器 网络 开发语言 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZVAyIVqt0UFji/article/details/146167220
版权

1. 背景

流量镜像提供流量采集服务,可将指定采集范围的流量按不同过滤条件过滤,并复制转发至私有网络 VPC 下的 VM 上,适用于安全审计、风险监测、故障排查、业务分析等场景。

1.1 工作流程

流量镜像关键组成为采集源和接收端,具体工作流程如下图所示。

采集源:VPC 中指定弹性网卡,可按所属网络、采集范围、采集类型和流量过滤等规则条件进行过滤。

接收端:采集流量将被复制转发至接收 IP 中。

1efd28b4643f87a73b5ea2615cad61ce.png

1.2 使用场景

安全审计

在系统运行过程中,由于系统软件处理异常、网络设备硬件故障、计算机病毒或用户不正常使用等原因,造成网络流量异常或产生错误报文。通过流量镜像可以分析网络报文,定位故障产生的原因。

入侵检测

为保证网络系统资源机密性、完整性和可用性,可以使用流量镜像功能将流量复制转发到云服务器集群上,进行实时分析。

业务分析

使用流量镜像功能对业务流量进行镜像,可以清晰可视企业内部业务流量模型。

2. 方案设计

2.1 基本概念

流量采集

采集的源是某个虚机的网卡

采集类型

根据业务类型选择采集流量方向,支持“全部流量”、“出流量”和“入流量”。

流量过滤

不过滤:采集配置的全部流量。

五元组:采集满足五元组条件的流量。选择“五元组”后,需设置“协议”、“源网段”、“目的网段”、“源端口”和“目的端口”。

流量接收

通常要求采集流量的 IP 与流量接收 IP 在同一个 VPC 内,我们的设计可以允许跨VPC不跨地域

流量接收端可以为虚机添加弹性网卡,专门来接收和处理镜像的流量

2.2 方案选择

流量镜像需要依次经过采集、过滤、接收三个阶段的处理。

  1. 对于采集来说,可以在采集端计算节点使用ovs自带的mirror功能,对采集端port添加mirror相关配置来实现。

  2. 对于接收来说,需要有办法在接收端计算节点识别出镜像的流量,下发流表规则来转发给接收端port。由于镜像流量一定是从采集端port发出或接收的,所以在接收端可以通过采集端port的IP或MAC地址来识别这些流量。考虑port IP有可能有多个而且可能经常会变更,所以通过采集端port的MAC地址来匹配比较合适。

    另外由于镜像流量的目的MAC不是接收端虚机网卡的MAC,接收端虚机需要打开网卡的混杂模式才能正常接收到镜像流量。

    打开混杂模式:
ifconfig eth0 promisc
关闭混杂模式:
ifconfig eth0 -promisc

  3. 对于过滤来说,前期可以采用不过滤的方式来实现,后期增加五元组过滤的功能。过滤方式有两种可供选择:

  • 分布式:在采集端计算节点上使用流表进行流量过滤。

  • 集中式:使用网关在采集和接收之间进行流量过滤。

分布式

集中式


优点

流量路径简单。采集端虚机->采集端计算节点->接收端计算节点->接收端虚机

代码开发的工作量较小

配置管理方便。网关统一管理过滤规则,方便管理和故障排查

网关上有全量虚机的FDB信息,可以方便地进行镜像流量的转发

缺点

配置管理复杂。如过滤规则变更,可能涉及多个计算节点上的流表配置变更

流量路径增加一个网关处理的环节。采集端虚机->采集端计算节点->网关->接收端计算节点->接收端虚机

代码开发的工作量较大

综合考虑优缺点,采用集中式的流量过滤。

网关如何识别镜像流量,有两种方式:

  • 给镜像流量打标签:在采集端计算节点上通过流表给镜像流量的tos打标签,来帮助网关区分镜像流量和普通流量

    2f62251a1f76cfecca05f8b1b990f7d8.png

  • 使用UDP特殊端口号:当前计算节点和网关之间的vxlan包都是使用UDP 4789端口,可以考虑镜像流量使用UDP 4790端口加以区分

    给镜像流量打标签

    使用UDP 4790端口


    优点

    代码开发的工作量较小

    网关可以直接通过UDP端口号区分收到的包是普通流量还是镜像流量,不需要解析包的内容,方便处理

    缺点

    网关需要解析包的内容来区分收到的包是普通流量还是镜像流量,处理流程较为复杂

    代码开发的工作量较大

    综合考虑优缺点,采用UDP  4800端口来标识镜像流量

2.3 使用限制

一个采集端虚机port只能属于一个流量镜像实例,即一条流量不能镜像给多个虚机。

一个接收端虚机port可以属于多个流量镜像实例,即多条流量可以镜像给一个虚机。

2.4 流程设计

f3676bac6cac520a6cca2ebaba1ca309.png

2.5 方案验证

在网关侧功能没有完成开发之前,可以验证计算节点直接转发镜像流量。

采集端

创建目的port为4790的vxlan port和ovs mirror规则进行流量采集,注意创建mirror规则使用“add bridge br-int”把新建的mirror加入bridge中,不能使用“set bridge br-int”,不然会覆盖bridge上原有的mirror。

 
 
ovs-vsctl add-port br-int vxlan11 -- set interface vxlan11 type=vxlan \
options:local_ip=10.120.64.238 options:remote_ip=10.220.164.238 options:key=100 \
options:dst_port=4790


ovs-vsctl -- --id=@qvo6fc32225-a8 get port qvo6fc32225-a8 \
-- --id=@vxlan11 get port vxlan11 \
-- --id=@m create mirror name=m0 select-src-port=@qvo6fc32225-a8 select-dst-port=@qvo6fc32225-a8 output-port=@vxlan11 \
-- add bridge br-int mirrors=@m
 
 
接收端
 
 
创建目的port为4790的vxlan port用来接收镜像流量,在ovs添加流表规则,从此vxlan port收到的流量全部交给table 63处理,table 63中匹配采集端虚机的MAC地址,把镜像流量导流到目标虚机网卡。由于一个采集端虚机port只能属于一个流量镜像实例,所以根据采集端虚机的MAC地址可以唯一地确定接收端虚机port。
 
 
从外部ping采集端虚机的IP,并在接收端虚机内抓包,验证可以收到镜像流量。
 
 
 
 
ovs-vsctl add-port br-int vxlan11 -- set interface vxlan11 type=vxlan \
options:local_ip=10.120.164.238 options:remote_ip=10.220.64.238 options:key=100 \
options:dst_port=4790


br-int:
ovs-ofctl add-flow br-int -Oopenflow13 "table=0,priority=200,in_port=vxlan11 actions=resubmit(,63)"
ovs-ofctl add-flow br-int -Oopenflow13 "table=63,priority=1,dl_src=fa:16:3e:71:ab:62 actions=output:tap4bd35a8c-a5"
ovs-ofctl add-flow br-int -Oopenflow13 "table=63,priority=1,dl_dst=fa:16:3e:71:ab:62 actions=output:tap4bd35a8c-a5"
ovs-ofctl add-flow br-int -Oopenflow13 "table=63,priority=0 actions=drop"
 
 
3. 总结
 
 
虚拟机流量镜像实现了流量复制和转发的功能,帮助用户更好地监控和分析虚机的流量,提升网络安全性,排除入侵风险。具有使用方便的特点,用户可以根据自己的实际需求对流量进行分析,而不只是局限于云平台提供的监控数据。
 
 
此功能在利用了NAT网关原有功能的基础上扩展了NAT网关的功能。相对于公有云厂商的流量镜像功能来说,可以实现同地域跨vpc之间的流量镜像,扩展了此功能的使用场景。
 


                

        

    

  



    

      

        

            

              
                
                  ZVAyIVqt0UFji
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
虚拟机流量转到服务器,KVM虚拟机获得宿主机指定网卡的流量

				
			

			

				

					weixin_42128963的博客
				

				

					08-13
					
					967
					
				

			

		

		

			
				
背景目前手上只有虚拟机资源,想通过虚拟机来分析交换机镜像过来的流量。交换机镜像过来的流量可能是主干网络流量也可能是某台服务器流量。KVM环境准备kvm环境准备省略,直接走官方文档或者其它安装文档即可目前网络架构描述宿主机:1,目前有两块物理网卡em1和em2,其中em1是内网网口。em2网卡处于up状态,没有配置ip地址,且已经通过交换机配置接入了交换机镜像过来的流量2,宿主机创建了br0,并...

			
		

	



                

            
              



	

		

			

				
					
Istio的流量镜像

				
			

			

				

					Micky_Yang的博客
				

				

					07-25
					
					5259
					
				

			

		

		

			
				
一、理解流量镜像
  流量镜像(Mirroring/traffic-shadow),也叫作影子流量,是指通过一定的配置将线上的真实流量复制一份到镜像服务中去,我们通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的,它的设计思想是只做转发而不接收响应(fire and forget)。这个功能在传统的微服务架构里是很难做到的,一方面,传统服务之间的通讯是由SDK支持的,那么对流量镜像就代表着在业务服务逻辑中有着镜像逻辑相关代码的侵入,这会影响业务服务的代码的整洁性。另一方面,流量

			
		

	



              


  
              

                


	

		

			

				
					
使用 Nginx 实现镜像流量:提升系统可用性与负载均衡

					
最新发布

				
			

			

				

					lijingxiaov5的博客
				

				

					03-22
					
					1152
					
				

			

		

		

			
				
镜像流量(Traffic Mirroring)是指将生产环境的实时流量复制一份,发送到一个或多个目标服务器镜像流量不会影响原始请求的响应,目标服务器仅用于接收流量副本

			
		

	





	

		

			

				
					
流量镜像

				
			

			

				

					变成习惯
				

				

					06-10
					
					4747
					
				

			

		

		

			
				
本文内容基于 流量的熔断。

流量镜像
流量镜像,也称为影子流量,是一个以尽可能低的风险为生产带来变化的强大的功能。镜像会将实时流量的副本发送到镜像服务。镜像流量发生在主服务的关键请求路径之外。

恢复环境:

kubectl delete -f samples/httpbin/httpbin.yaml

kubectl delete -f samples/httpbin/networking/destination-rule-httpbin.yaml

kubectl delete -f samples/

			
		

	



		

			
		



	

		

			

				
					
nginx mirror 流量镜像

				
			

			

				

					lgq2016的博客
				

				

					03-27
					
					2254
					
				

			

		

		

			
				
流量镜像 (Traffic Mirroring),也称为流量影子 (Traffic Shadowing),是一种强大的、无风险的测试应用版本的方法,它将实时流量的副本发送给被镜像的服务。采用这种方法,您可以搭建一个与原环境类似的环境以进行验收测试,从而提前发现问题。由于镜像流量存在于主服务关键请求路径带外,终端用户在测试全过程不会受到影响。

			
		

	





	

		

			

				
					
【AWS入门】流量镜像

				
			

			

				

					weixin_42161670的博客
				

				

					04-02
					
					1747
					
				

			

		

		

			
				
流量镜像是一项 Amazon VPC 功能,可用于从接口类型的弹性网络接口复制网络流量。然后,您可以将流量发送到带外安全和监控设备,以便:内容检查威胁监控故障排除安全和监控设备可以部署为单个实例,也可以部署为具有 UDP 侦听器的网络负载均衡器或具有 UDP 侦听器的网关负载均衡器后面的实例队列。流量镜像支持过滤器和数据包截断,以便您仅使用所选的监控工具提取要监控的感兴趣流量

			
		

	





	

		

			

				
					
旁路流量检测--流量镜像

				
			

			

				

					有小小的远大抱负
				

				

					01-17
					
					2607
					
				

			

		

		

			
				
入侵检测系统就不多说,对流量进行分析和流量特征库进行比对,上报异常流量行为和动作,为网络安全管理员提供防护思路,取证异常流量五元组信息等等,总结来说就是为了保证内网安全运行的安全设备;在生产环境当中,经常会出现核心交换机旁挂入侵检测探针类安全设备用于对生产网络安全进行监测和保障,确保网络环境能够安全稳定的运行。交换机侧需要将所有流量镜像到IDS上面进行检测分析;流量镜像(需要多个monitor,镜像)(这里拿华三交换机举例说明)

			
		

	





	

		

			

				
					
虚拟化环境下网络流量镜像的一种实现方法

					
热门推荐

				
			

			

				

					genelintao的博客
				

				

					03-21
					
					2万+
					
				

			

		

		

			
				
某工具选型测试需要把进出客户端的数据流量进行镜像,通过目的服务器应用抓包分析数据流量中是否有敏感信息。此次网络流量镜像在VMware虚拟化环境下结合物理交换机实现,需要使用VMware虚拟化分布式交换机技术。标准交换机只能连接一个物理主机,不具有任何灵活性,分布式交换机则可以连接不同的物理主机,可以在主机之间实现共享,也比前者具有更多便利功能。     如下是实现环境:    数据流量源(客户端)...

			
		

	





	

		

			

				
					
服务器虚拟机流量管理,在VMware vSphere虚拟网络使用网络数据包分析器

				
			

			

				

					weixin_39789979的博客
				

				

					08-06
					
					1590
					
				

			

		

		

			
				
无论你是服务器管理员、网络管理员还是VMware管理员,都是使用协议分析仪(也被称为数据包分析仪或者“嗅探器”)作为分析网络问题的常用工具。这些软件应用能够实时分析网络流量,让你可以查看穿越网络的数据包。这些工具会告诉你网络中哪个网络设备制造最多流量,哪个协议最常被使用,在局域网中,谁正在和谁通讯,以及是否存在网络错误。如果数据包以纯文本形式被发送,你甚至还可以解码该文本来查看是否存在类似密码的数...

			
		

	





	

		

			

				
					
流影之ESXi环境下网络流量接入配置

				
			

			

				

					开源流影项目的博客
				

				

					07-07
					
					3628
					
				

			

		

		

			
				
欢迎大家使用反馈,积极参与项目贡献。外部流量镜像接入过程概括为:接入待分析流量数据到物理网卡、新建虚拟交换机(vSwitch)接入从物理网卡(vmnic)采集到的数据、新建端口组(Network)建立虚拟交换机上的对外接口、再到分析平台所在虚拟机新建虚拟机网卡(vm)接入流量数据。1、在网络管理页面,定位到待分析目标流量所在的虚拟交换机(vSwitch/vDSwitch),记录该虚拟交换机名称(图中vSwitch1-LAN),进入该虚拟交换机配置页面,将该虚拟交换机的“允许混杂模式”配置为“是”。

			
		

	





	

		

			

				
					
VMware vCenter 7 端口镜像详细操作

				
			

			

				

					fq3758的博客
				

				

					09-05
					
					1630
					
				

			

		

		

			
				
在 VMware 环境中,端口镜像(Port Mirroring)允许你复制特定端口的网络流量到另一个端口,以便进行流量分析或故障排除。以下是详细的操作步骤,具体以 VMware vCenter 7 和分布式交换机(vDS)为例。

			
		

	





	

		

			

				
					
镜像相关:端口镜像流量镜像

				
			

			

				

					顺其自然~专栏
				

				

					11-09
					
					1257
					
				

			

		

		

			
				
另外,如果镜像端口与观察端口的带宽不一致,比如,镜像端口的带宽是1000Mbit/s,观察端口的带宽是100Mbit/s,则有可能导致观察端口因带宽不足而不能及时转发全部的镜像报文,发生丢包情况。原理:源端口和目的端口位于不同交换机上。端口镜像是指设备复制从镜像端口流经的报文,并将此报文传送到指定的观察端口进行分析和监控。将经过指定端口(源端口或者镜像端口)的报文复制一份到另一个指定端口(目的端口或者观察端口)。远程端口镜像是指观察端口与监控设备通过中间网络传输镜像报文,此时观察端口被称为远程观察端口。

			
		

	





	

		

			

				
					
Istio流量镜像测试

				
			

			

				

					2401_83649605的博客
				

				

					11-06
					
					1048
					
				

			

		

		

			
				
流量镜像(Mirroring / traffic-shadow),也叫作影子流量,是指通过一定的配置将线上的真实流量复制一份到镜像服务中去,我们通过流量镜像转发以达到在不影响线上服务的情况下对流量或请求内容做具体分析的目的,它的设计思想是只做转发而不接收响应(fire and forget)。

			
		

	





	

		

			

				
					
nginx mirror 流量镜像,2024年最新Linux运维程序员必会

				
			

			

				

					2401_83621499的博客
				

				

					04-15
					
					353
					
				

			

		

		

			
				
当请求到达 Nginx 时,如果 Nginx 开启了流量镜像功能,就会将请求复制一份,并根据 mirror location 中的配置来处理这份复制的请求。复制的镜像请求和原始请求是没有关联,

			
		

	





	

		

			

				
					
[专有网络VPC]流量镜像概述

				
			

			

				

					2401_88127808的博客
				

				

					11-01
					
					1143
					
				

			

		

		

			
				
流量镜像概念介绍筛选条件:包含入方向规则和出方向规则,用来筛选在镜像会话中镜像网络流量。入方向流量:弹性网卡ENI接收的流量。出方向流量:从弹性网卡ENI发出的流量镜像源:需要镜像网络流量的弹性网卡实例。镜像目的:接收镜像网络流量的弹性网卡实例或私网CLB实例。镜像会话:通过指定的筛选条件,将网络流量镜像源复制到镜像目标的过程。筛选条件说明您可以在筛选条件中创建入方向规则和出方向规则。创建镜像会话时关联筛选条件,镜像会话创建成功后开启镜像会话,所有符合筛选条件的网络流量都会被镜像

			
		

	





	

		

			

				
					
华为流量镜像

				
			

			

				

					weixin_34116110的博客
				

				

					04-26
					
					2159
					
				

			

		

		

			
				
华为67:只支持二层镜像镜像流量不能进入vlan接口;不支持三层镜像。
(二层镜像配置)observe-port 1 interface Eth-Trunk0 vlan 2222#方式一:vlan 1045mirroring to observe-port 1 inbound
方式二:int eth-trunk 2port-mirroring to  observe-port 1 inbound...

			
		

	





	

		

			

				
					
AWS攻略——初识流量镜像

				
			

			

				

					方亮的专栏
				

				

					03-07
					
					1423
					
				

			

		

		

			
				
整个配置过程其实比较简单。只是因为要测试,且对ACL、安全组要求比较严格,导致很多设置。最最需要注意的是我们在创建镜像会话时,要记住VNI的值,然后保证其和下面${TrafficMirroringVNI}值一致。

			
		

	





	

		

			

				
					
交换机四大镜像:端口镜像、流镜像、VLAN镜像、MAC镜像

				
			

			

				

					
				

				

					11-18
					
					2706
					
				

			

		

		

			
				
交换机镜像技术是一种将网络流量复制到另一个端口或接口的方法,用于监控和分析网络中的数据流动。通过镜像技术,网络管理员可以实时查看和分析网络中的数据包,从而进行故障排除、性能优化和安全审计。01 应用场景实时监控网络流量,了解网络使用情况。定位网络故障,分析数据包传输问题。- 安全审计:检测和记录网络中的异常流量,防止安全威胁。分析网络瓶颈,优化网络配置和性能。

			
		

	





	

		

			

				
					
路由器_端口镜像&流量镜像_详解

				
			

			

				

					weixin_46505763的博客
				

				

					01-12
					
					4404
					
				

			

		

		

			
				
用户通过配置镜像功能,可以“捕获”指定接口接收或发送的报文,从而了解指定接口的数据情况,进而进行网络问题定位。网络运行过程中,经常需要对网络设备的端口状况进行监控和分析。如果直接对转发端口进行监控和分析,可能会影响端口的转发效率。用户可以通过配置镜像功能,将网络中某个接口(镜像端口)接收或发送的报文,复制一份到指定接口(观测端口),然后发送到和观测端口直连的报文分析设备上。用户通过分析镜像报文,可进行网络监控和故障排查。端口镜像:指将镜像端口接收或发送的报文完整地复制输出到指定的观测端口。

			
		

	





	

		

			

				
					
虚拟机综合检测工具套装

				
			

			

				

					
				

			

		

		

			
				
- 虚拟机完整性检查:验证虚拟机镜像、配置和系统文件的完整性,确保没有被恶意篡改。 - 虚拟机环境检测:识别虚拟机是否运行在正常的、安全的环境中,包括内存、CPU、网络和存储资源的使用情况。 - 虚拟机漏洞扫描...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值