/ 虚拟私有云 vpc/ 用户指南/ / / 将源弹性网卡的入方向tcp/udp流量镜像到不同的目的弹性网卡
更新时间:2025-02-25 gmt 08:00
查看pdf

将源弹性网卡的入方向tcp/udp流量镜像到不同的目的弹性网卡-九游平台

方案架构

当您需要将镜像源(弹性网卡)的入方向tcp和udp流量,分别镜像到不同的镜像目的(弹性网卡)时,您可以参考本文的配置示例。如所示,在vpc-a中,ecs-test访问ecs-source,需要将ecs-source入方向tcp流量镜像到ecs-target-01中,并将入方向udp流量镜像到ecs-target-02,由于一个镜像会话只可以关联一个镜像目的,则您创建两个镜像会话可以实现需求,详细设置如下:
  • 镜像会话mirror-session-01:
    • 镜像源是ecs-source的弹性网卡-s,表示需要镜像弹性网卡-s入方向的tcp流量。
    • 镜像目的是ecs-target-01的弹性网卡-t01,表示将弹性网卡-s入方向的tcp流量镜像到弹性网卡-t01中。
    • 镜像会话的筛选条件mirror-filter-01中,需要添加采集入方向tcp流量的规则。
  • 镜像会话mirror-session-02:
    • 镜像源是ecs-source的弹性网卡-s,表示需要镜像弹性网卡-s入方向的udp流量。
    • 镜像目的是ecs-target-02的弹性网卡-t02,表示将弹性网卡-s入方向的udp流量镜像到弹性网卡-t02中。
    • 镜像会话的筛选条件mirror-filter-02中,需要添加采集入方向udp流量的规则。
图1 镜像入方向tcp/udp流量

约束与限制

关于流量镜像的使用限制,具体请查看流量镜像的使用限制

资源规划说明

本示例中,虚拟私有云vpc和子网、弹性公网ip以及弹性云服务器ecs等资源只要位于同一个区域内即可,可用区可以任意选择,无需保持一致。

以下资源规划详情仅为示例,您可以根据需要自行修改。

表1 镜像入方向tcp/udp流量资源规划总体说明

资源类型

资源数量

说明

虚拟私有云vpc和子网

vpc:1

子网:2
  • vpc名称:请根据实际情况设置,本示例为vpc-a。
  • ipv4网段:请根据实际情况设置,本示例为192.168.0.0/16。
  • 子网名称:请根据实际情况设置,本示例共2个子网,分别为subnet-a01和subnet-a02。
  • 子网ipv4网段:请根据实际情况设置,本示例subnet-a01为192.168.0.0/24,subnet-a02为192.168.1.0/24。

弹性云服务器ecs

4
本示例中,共需要四个ecs,配置说明如下:
  • 名称:根据实际情况设置,本示例分别为ecs-source、ecs-target-01、ecs-target-02和ecs-test。
  • 实例规格类型:本示例中镜像源ecs-source使用通用计算增强型c7t,当前仅支持部分规格ecs的弹性网卡作为镜像源,具体请参见流量镜像的使用限制。其他ecs的规格类型不做限制。
  • 镜像:请根据实际情况设置,本示例为公共镜像(huawei cloud euleros 2.0 标准版 64位)。
  • 系统盘:通用型ssd盘,40gb。
  • 数据盘:本示例未选购数据盘,请您根据实际业务需求选购数据盘。
  • 网络:
    • 虚拟私有云:选择您的虚拟私有云,本示例为vpc-a。
    • 子网:选择子网,本示例ecs-source、ecs-target-01、ecs-test的子网为subnet-a01,ecs-target-02的子网为subnet-a02。
  • 安全组:本示例中,4个ecs属于同一个安全组sg-x,需要确保中的规则均已正确添加即可。
    如果ecs属于不同的安全组,则除了分别在不同安全组配置中的规则外,还需要添加以下规则:
    • 如果访问镜像源的测试ecs和镜像源ecs属于不同安全组,比如ecs-test属于sg-x,ecs-source属于sg-a,则需要在sg-a中额外添加中的规则,允许ecs-test的流量进入。
    • 如果镜像源ecs和镜像目的ecs属于不同安全组,比如ecs-source属于sg-a,ecs-target-01属于sg-b,则需要在sg-b中额外添加中的规则,允许来自镜像源封装的udp协议报文访问镜像目的的4789端口。ecs-target-02同理。
  • 弹性公网ip:选择“暂不购买”。
  • 私有ip地址:ecs-source为192.168.0.230,ecs-target-01为192.168.0.164,ecs-target-02为192.168.1.165,ecs-test为192.168.0.161

弹性公网ip

1
  • 计费模式:请根据情况选择计费模式,本示例为按需计费。
  • eip名称:请根据实际情况设置,本示例为eip-a。
  • eip地址:eip地址系统随机分配,本示例为124.x.x.187。

筛选条件

2
  • 1个采集tcp流量的筛选条件:
    • 名称:请根据实际情况设置,本示例为mirror-filter-01。
    • 入方向规则:添加1条入方向规则,该规则表示从ecs-test发送到镜像源(ecs-source)1234端口的tcp报文将会被镜像,规则详情请参见。
  • 1个采集udp流量的筛选条件:
    • 名称:请根据实际情况设置,本示例为mirror-filter-02。
    • 入方向规则:添加1条入方向规则,该规则表示从ecs-test发送到镜像源(ecs-source)1235端口的udp报文将会被镜像,规则详情请参见。

镜像会话

2

1个采集tcp流量的镜像会话:

  • 镜像会话基本信息:
    • 名称:请根据实际情况设置,本示例为mirror-session-01。
    • 优先级:请根据实际情况设置,本示例为1。
    • vxlan网络标识:请根据实际情况设置,本示例为1。
    • 镜像报文长度:请根据实际情况设置,本示例为96。
    • 是否开启:开启,镜像会话开启后,才会监控镜像源的网络流量。
  • 关联筛选条件:请根据实际情况设置,本示例为mirror-filter-01。
  • 关联镜像源:请根据实际情况设置,本示例为ecs-source的弹性网卡,私有ip地址为192.168.0.230。
  • 关联镜像目的:
    • 类型:云服务器网卡
    • 网卡:请根据实际情况设置,本示例为ecs-target-01的弹性网卡,私有ip地址为192.168.0.164。

1个采集udp流量的镜像会话:

  • 镜像会话基本信息:
    • 名称:请根据实际情况设置,本示例为mirror-session-02。
    • 优先级:请根据实际情况设置,本示例为2。
    • vxlan网络标识:请根据实际情况设置,本示例为2。
    • 镜像报文长度:请根据实际情况设置,本示例为96。
    • 是否开启:开启,镜像会话开启后,才会监控镜像源的网络流量。
  • 关联筛选条件:请根据实际情况设置,本示例为mirror-filter-02。
  • 关联镜像源:请根据实际情况设置,本示例为ecs-source的弹性网卡,私有ip地址为192.168.0.230。
  • 关联镜像目的:
    • 类型:云服务器网卡
    • 网卡:请根据实际情况设置,本示例为ecs-target-02的弹性网卡,私有ip地址为192.168.1.165。
表2 安全组sg-x规则说明

方向

策略

类型

协议端口

源地址/目的地址

描述

入方向

允许

ipv4

tcp: 22

源地址:0.0.0.0/0

放通安全组内ecs的ssh(22)端口,用于远程登录linux ecs。

入方向

允许

ipv4

tcp: 3389

源地址:0.0.0.0/0

放通安全组内ecs的rdp(3389)端口,用于远程登录windows ecs。

入方向

允许

ipv4

全部

源地址:当前安全组sg-x

针对ipv4,用于安全组内ecs之间网络互通。

入方向

允许

ipv6

全部

源地址:当前安全组sg-x

针对ipv6,用于安全组内ecs之间网络互通。

出方向

允许

ipv4

全部

目的地址:0.0.0.0/0

针对ipv4,用于安全组内ecs访问外部,允许流量从安全组内ecs流出。

出方向

允许

ipv6

全部

目的地址:::/0

针对ipv6,用于安全组内ecs访问外部,允许流量从安全组内ecs流出。

本示例中,入方向源地址设置为0.0.0.0/0表示允许所有外部ip远程登录云服务器,如果将22或3389端口暴露到公网,可能存在网络安全风险,建议您将源ip设置为已知的ip地址,比如设置为您的本地pc地址。

表3 安全组sg-a规则说明

方向

策略

类型

协议端口

源地址

描述

入方向

允许

ipv4

tcp: 1234

访问镜像源的测试ecs的地址,本示例为ecs-test的私有ip地址:

192.168.0.161/32

针对ipv4,允许来自ecs-test的tcp协议报文访问镜像源ecs-source的1234端口。

入方向

允许

ipv4

udp: 1235

访问镜像源的测试ecs的地址,本示例为ecs-test的私有ip地址:

192.168.0.161/32

针对ipv4,允许来自ecs-test的udp协议报文访问镜像源ecs-source的1235端口。
表4 安全组sg-b规则说明

方向

策略

类型

协议端口

源地址

描述

入方向

允许

ipv4

udp: 4789

镜像源的地址,本示例为ecs-source的私有ip地址:

192.168.0.230/32

针对ipv4,允许来自镜像源ecs-source封装的udp协议报文访问镜像目的ecs-target-01的4789端口。
表5 筛选条件的入方向规则

名称

方向

优先级

协议

策略

类型

源地址

源端口范围

目的地址

目的端口范围

mirror-filter-01

入方向

1

tcp

采集

ipv4

报文的来源地址,本示例为ecs-test的私有ip地址:

192.168.0.161/32

全部

报文的目的地址,本示例为ecs-source的私有ip地址:

192.168.0.230/32

本示例为ecs-source的1234端口:

1234-1234

mirror-filter-02

入方向

1

udp

采集

ipv4

报文的来源地址,本示例为ecs-test的私有ip地址:

192.168.0.161/32

全部

报文的目的地址,本示例为ecs-source的私有ip地址:

192.168.0.230/32

本示例为ecs-source的1235端口:

1235-1235

操作流程

将源弹性网卡的入方向tcp流量和udp流量镜像到不同的目的弹性网卡,流程如所示。

图2 镜像入方向tcp/udp流量

步骤一:创建云服务资源

  1. 创建1个vpc和2个子网。

    具体方法请参见创建虚拟私有云和子网

  2. 创建4个ecs。

    具体方法请参见。

  3. 申请弹性公网ip。

    具体方法请参见购买弹性公网ip

步骤二:创建筛选条件和镜像会话

  1. 创建2个筛选条件。

    具体方法请参见。

  2. 创建2个镜像会话,关联筛选条件、镜像源以及镜像目的。

    具体方法请参见。

步骤三:安装nc工具模拟数据流量

本文使用nc工具模拟数据流量,nc工具是一个通过tcp/udp协议在网络中读写数据的工具,常用于网络端口测试等,需要在ecs-source和ecs-test中安装nc工具。

  1. 在ecs-source中安装nc工具。
    1. 下载nc工具需要连接公网,将eip绑定至ecs-source。

      具体方法请参见。

    2. 远程登录ecs-source。

      ecs有多种登录方法,具体请参见。

    3. 依次执行以下命令,安装nc工具。

      sudo yum update

      回显类似如下信息: 
      [root@ecs-source ~]# sudo yum update
hce 2.0 base                                                                                                                                                 55 mb/s | 6.1 mb     00:00    
hce 2.0 updates                                                                                                                                              98 mb/s |  14 mb     00:00    
last metadata expiration check: 0:00:01 ago on tue 10 sep 2024 05:54:28 pm cst.
dependencies resolved.
nothing to do.
complete!

      sudo yum install nc

      回显类似如下信息,请根据回显提示输入y,并按回车。 
      [root@ecs-source ~]# sudo yum install nc
last metadata expiration check: 0:00:12 ago on tue 10 sep 2024 05:54:28 pm cst.
dependencies resolved.
...
install  2 packages
total download size: 6.1 m
installed size: 25 m
is this ok [y/n]: y
downloading packages:
...    
importing gpg key 0xa8def926:
 userid     : "xxx"
 fingerprint: c1ba 9cd4 9d03 a206 e241 f176 28da 5b77 a8de f926
 from       : http://repo.xxx.com/xx/2.0/updates/rpm-gpg-key-hce-2
is this ok [y/n]: y
...
installed:
  libssh2-1.10.0-2.r10.hce2.x86_64                                                               nmap-2:7.92-2.r4.hce2.x86_64                                                              
complete!
    4. ecs-source的nc工具安装完成后,解绑eip。

      具体方法请参见解绑弹性公网ip

  2. 参考~,在ecs-test中安装nc工具,并解绑eip。
  3. eip解绑后,删除eip。

    本示例中不再需要使用eip,因此删除eip,具体方法请参见解绑弹性公网ip。如果不删除eip,则eip会持续计费。

步骤四:验证采集tcp流量的镜像会话是否生效

  1. 执行以下操作,建立ecs-source和ecs-test之间的tcp连接。

    本文在ecs-test向ecs-source发送tcp报文,查看ecs-source是否可以收到该报文。

    1. 在ecs-source中,执行以下命令,开启1234端口的监听。

      nc -l 镜像源ecs-source的监听端口

      命令示例:

      nc -l 1234

      此处回显为空,表示监听已正常开启。

    2. 在ecs-test中,执行以下命令,建立ecs-source和ecs-test之间的tcp连接。

      nc 镜像源ecs-source的私有ip地址 镜像源ecs-source的监听端口

      命令示例:

      nc 192.168.0.230 1234

      此处回显为空,在ecs-test中,输入任意信息(比如hello),并按回车,测试tcp连接是否建立成功。 
      [root@ecs-test ~]# nc 192.168.0.230 1234
hello
    3. 在ecs-source中,查看是否收到来自ecs-test的信息。
      回显类似如下信息,可正常收到信息,表示tcp连接建立成功。 
      [root@ecs-source ~]# nc -l 1234
hello
  2. 执行以下操作,测试ecs-source入方向的tcp报文是否可以镜像到ecs-target-01。
    当ecs-test实时向镜像源ecs-source发送tcp报文时,通过tcpdump工具,查看镜像目的ecs-target-01是否可以获取到该报文的数据包,如果获取成功,则表示镜像会话配置生效。
    1. 远程登录ecs-target-01。

      ecs有多种登录方法,具体请参见。

    2. 在ecs-target-01中,执行以下命令,查看镜像目的对应的网卡名称。

      ifconfig

      回显类似如下信息,本示例中镜像目的对应的网卡名称为eth0。 
      [root@ecs-target-01 ~]# ifconfig
eth0: flags=4163  mtu 1500
        inet 192.168.0.164  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::f816:3eff:fe7e:d67a  prefixlen 64  scopeid 0x20
        ether fa:16:3e:7e:d6:7a  txqueuelen 1000  (ethernet)
        rx packets 283560  bytes 116380316 (110.9 mib)
        rx errors 0  dropped 0  overruns 0  frame 0
        tx packets 276486  bytes 104575280 (99.7 mib)
        tx errors 0  dropped 0 overruns 0  carrier 0  collisions 0
...
    3. 在ecs-target-01中,执行以下命令,通过tcpdump工具观察数据包获取情况。

      tcpdump -i 镜像目的对应的网卡名称 udp port 4789 -nne

      命令示例:

      tcpdump -i eth0 udp port 4789 -nne

      回显类似如下信息: 
      [root@ecs-target-01 ~]# tcpdump -i eth0 udp port 4789 -nne 
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type en10mb (ethernet), snapshot length 262144 bytes
    4. 在ecs-test中,输入任意信息(比如tcp),并按回车,向ecs-source发送tcp报文。
      回显类似如下信息: 
      [root@ecs-test ~]# nc 192.168.0.230 1234
hello
tcp
    5. 在ecs-source中,查看是否收到来自ecs-test的信息。
      回显类似如下信息,可正常收到信息。 
      [root@ecs-source ~]# nc -l 1234
hello
tcp
    6. 在ecs-target-01中,查看是否可以获取到报文的数据包。
      回显类似如下信息,可以看到tcpdump工具启动后,ecs-test发送的信息tcp对应的数据包。其中,vni 1为镜像会话mirror-session-01的标识,表示通过mirror-session-01,ecs-target-01可成功获取到数据包,数据包内容分为两部分,一部分是流量镜像封装的vxlan报文,一部分是原始报文,详细说明请参见。 
      [root@ecs-target-01 ~]# tcpdump -i eth0 udp port 4789 -nne 
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type en10mb (ethernet), snapshot length 262144 bytes
12:04:54.038631 fa:16:3e:d1:6b:5d > fa:16:3e:7e:d6:7a, ethertype ipv4 (0x0800), length 120: 192.168.0.230.32782 > 192.168.0.164.4789: vxlan, flags [i] (0x08), vni 1
fa:16:3e:7e:d6:77 > fa:16:3e:7e:d6:bc, ethertype ipv4 (0x0800), length 70: 192.168.0.161.55602 > 192.168.0.230.1234: flags [p.], seq 1838246001:1838246005, ack 2529760424, win 502, options [nop,nop,ts val 1116821333 ecr 752395830], length 4

步骤五:验证采集udp流量的镜像会话是否生效

  1. 执行以下操作,建立ecs-source和ecs-test之间的udp连接。

    本文在ecs-test向ecs-source发送udp报文,查看ecs-source是否可以收到该报文。

    1. 在ecs-source中,执行以下命令,开启1235端口的监听。

      nc -ul 镜像源ecs-source的监听端口

      命令示例:

      nc -ul 1235

      此处回显为空,表示监听已正常开启。

    2. 在ecs-test中,执行以下命令,建立ecs-source和ecs-test之间的udp连接。

      nc 镜像源ecs-source的私有ip地址 镜像源ecs-source的监听端口 -u

      命令示例:

      nc 192.168.0.230 1235 -u

      此处回显为空,在ecs-test中,输入任意信息(比如hello),并按回车,测试udp连接是否建立成功。 
      [root@ecs-test ~]# nc 192.168.0.230 1235 -u
hello
    3. 在ecs-source中,查看是否收到来自ecs-test的信息。
      回显类似如下信息,可正常收到信息,表示udp连接建立成功。 
      [root@ecs-source ~]# nc -ul 1235
hello
  2. 执行以下操作,测试ecs-source入方向的udp报文是否可以镜像到ecs-target-02。
    当ecs-test实时向镜像源ecs-source发送udp报文时,通过tcpdump工具,查看镜像目的ecs-target-02是否可以获取到该报文的数据包,如果获取成功,则表示镜像会话配置生效。
    1. 远程登录ecs-target-02。

      ecs有多种登录方法,具体请参见。

    2. 在ecs-target-02中,执行以下命令,查看镜像目的对应的网卡名称。

      ifconfig

      回显类似如下信息,本示例中镜像目的对应的网卡名称为eth0。 
      [root@ecs-target-02 ~]# ifconfig
eth0: flags=4163  mtu 1500
        inet 192.168.1.165  netmask 255.255.255.0  broadcast 192.168.1.255
        inet6 fe80::f816:3eff:fe7e:d77b  prefixlen 64  scopeid 0x20
        ether fa:16:3e:7e:d7:7b  txqueuelen 1000  (ethernet)
        rx packets 81142  bytes 112091279 (106.8 mib)
        rx errors 0  dropped 0  overruns 0  frame 0
        tx packets 11848  bytes 2318498 (2.2 mib)
        tx errors 0  dropped 0 overruns 0  carrier 0  collisions 0
...
    3. 在ecs-target-02中,执行以下命令,通过tcpdump工具观察数据包获取情况。

      tcpdump -i 镜像目的对应的网卡名称 udp port 4789 -nne

      命令示例:

      tcpdump -i eth0 udp port 4789 -nne

      回显类似如下信息: 
      [root@ecs-target-02 ~]# tcpdump -i eth0 udp port 4789 -nne
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type en10mb (ethernet), snapshot length 262144 bytes
    4. 在ecs-test中,输入任意信息(比如udp),并按回车,向ecs-source发送udp报文。
      回显类似如下信息: 
      [root@ecs-test ~]# nc 192.168.0.230 1235 -u
hello
udp
    5. 在ecs-source中,查看是否收到来自ecs-test的信息。
      回显类似如下信息,可正常收到信息。 
      [root@ecs-source ~]# nc -ul 1235
hello
udp
    6. 在ecs-target-02中,查看是否可以获取到报文的数据包。
      回显类似如下信息,可以看到tcpdump工具启动后,ecs-test发送的信息udp对应的数据包。其中,vni 2为镜像会话mirror-session-02的标识,表示通过mirror-session-02,ecs-target-02可成功获取到数据包,数据包内容分为两部分,一部分是流量镜像封装的vxlan报文,一部分是原始报文,详细说明请参见。 
      [root@ecs-target-02 ~]# tcpdump -i eth0 udp port 4789 -nne
dropped privs to tcpdump
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type en10mb (ethernet), snapshot length 262144 bytes
12:09:36.275574 fa:16:3e:18:32:b8 > fa:16:3e:7e:d7:7b, ethertype ipv4 (0x0800), length 96: 192.168.0.230.32830 > 192.168.1.165.4789: vxlan, flags [i] (0x08), vni 2
fa:16:3e:7e:d6:77 > fa:16:3e:7e:d6:bc, ethertype ipv4 (0x0800), length 46: 192.168.0.161.46546 > 192.168.0.230.1235: udp, length 4
父主题:

相关文档

网站地图