操作指南

API文档

创建流量镜像

最近更新时间:2020-10-28 14:58:36

流量镜像提供流量采集服务,可将指定弹性网卡上的流量按五元组等条件过滤,并复制转发至同 VPC 下的 CVM 上,适用于安全审计、风险监测、故障排障、业务分析等场景。本文将介绍如何创建流量镜像。

说明:

目前流量镜像处于灰度中,如有需要,请提交 工单申请,为避免多次申请,建议保存好申请时获取的链接,方便您登录流量镜像控制台。

前提条件

请确保被采集流量的 IP 与流量接收 IP 在同一个 VPC 内,且流量采集 IP 有针对流量接收 IP 的路由表。

操作步骤

步骤一:设置采集流量

  1. 请使用通过 工单申请 获取的链接,登录流量镜像控制台,在顶部导航栏,选择待创建流量镜像的地域。
  2. 在流量镜像页面单击【+新建】。
    说明:

    每个 VPC 最多创建5个流量镜像。

  3. 在设置采集流量页面进行如下配置:
    • 请填写流量镜像的名称,不超过60字符。
    • 选择所属网络
    • 选择流量采集范围
      • 私有网络:采集 VPC 内除接收 IP 的镜像端口流量,一般用于全镜像场景。
      • 子网:采集 VPC 子网内除接收 IP 的镜像端口流量。选择子网后,需勾选具体子网网段。
      • 弹性网卡:采集 VPC 内除绑定接收 IP 的弹性网卡的流量。选择弹性网卡后,需勾选具体弹性网卡。
    • 选择采集类型:根据业务类型选择采集流量方向,支持全部流量出流量入流量
    • 选择流量过滤方式:根据业务类型选择流量过滤方式,过滤掉不需要的流量可以减轻镜像的规模和压力。
      • 不过滤:采集配置的全部流量。
      • 五元组过滤:采集满足五元组条件的流量。选择五元组后,需设置协议源网段目的网段源端口目的端口。若需增加筛选条件,请单击【添加】,多个筛选条件为“与”关系。
      • 下一跳为 NAT 网关:采集下一跳为 NAT 网关的流量。选择下一跳为 NAT 网关后,需在筛选条件右侧选择具体 NAT 网关。
  4. 完成配置后,单击【下一步】。

步骤二:设置接收流量

  1. 在设置接收流量页面配置如下信息:
    • 接收 IP:填写接收转发流量的 IP 地址。
      说明:

      • 接收 IP 为空时,表示不转发任何流量,因此至少需添加一个接收 IP。
      • 若有多个接收 IP,则需使用换行符或英文逗号隔开。
      • 在 VPC 内,接收 IP 的流量不会被采集。
    • 均衡方式:选择如下一种方式。
      • 流量均分:所有流量随机均匀分到接收 IP 中。
      • 按弹性网卡 HASH:将来自同一个网卡的流量转发到同一个接收 IP 中。
  2. 完成配置后,单击【确定】。

结果验证

注意:

本文以采集源端弹性网卡10.0.0.14访问网站 www.qq.com 的“出流量”镜像为例。

  1. 返回流量镜像页面,创建的流量镜像显示在列表中,且启用采集为开启,则表示流量镜像任务创建成功。
  2. 执⾏如下操作,验证采集端的流量是否正常镜像到接收端。
    1. 构造弹性网卡流量,例如您可以登录采集源端 CVM,执行 ping 公网 IP来构造流量。
      source 源数据:

    2. 登录接收端云服务器,执行如下命令抓取数据并保存为“.cap”或“.pcap”⽂件。本例以“.pcap”为例。
      tcpdump -i eth0 -w capture-2020-10-27.pcap    #⽂件名可⾃定义,请根据实际填写
      Destination 数据包:
    3. 使⽤终端模拟⼯具(例如 SecureCRT 等)登录接收端服务器,将 步骤ii 中保存的⽂件导出到本地。
      sz -bye capture-2020-10-27.pcap
    4. 使⽤报⽂解析⼯具(例如 Wireshark ⼯具)打开下载到本地的⽂件“capture-2020-10-27.pcap”获取数据详情,例如,本例中已从镜像接收端云服务端获取到采集源端的出流量12个数据包。
      包校验:
  3. 如获取到数据包异常或⽆法正常获取到数据包,请 联系我们 提交工单

后续步骤

目录