更新时间:2024-05-09
功能说明
运维场景下需要将业务云主机的网络流量镜像至安全审查设备以实现流量筛选和监控。深信服SCP支持将云主机/网络设备的网卡流量复制转发至SCP出口,如需镜像至外部设备,需在中间交换机配置流量镜像。
注意事项
- 一条镜像规则源对象最多可选1024个网口。
- 目的对象仅能选择1个云主机网口或网络设备网口。
- 一个云主机/网络设备网口、物理主机业务口如果作为源对象,只能属于一条流量镜像策略;如果作为目的对象,可以属于多条流量镜像策略。
- 不支持物理网络到虚拟网络的镜像功能。
- 随着规则数越多,业务流量时延越大,吞吐越小,建议配置在100条规则以内。
- 被流量镜像引用后的云主机支持同资源池内迁移,迁移后流量镜像仍然生效。
- 支持为流量镜像单独配置物理出口。将虚拟网络流量镜像给外部设备场景下,镜像流量占用业务通信口;集群内跨主机镜像时,镜像流量占用数据通信口;为避免镜像流量与业务口或数据通信口抢占带宽,高负载场景下建议规划单独物理网卡进行流量镜像转发。
- 镜像到物理业务口时,必须配置VLAN,且VLAN必须和物理出口连接的物理交换机(truck口)上允许的VLAN一致,同时镜像流量不能包含该VLAN的流量。
- 镜像规则使用物理出口连接的业务口时,当物理出口连接的业务口修改后,流量镜像规则中对应的物理业务口也随之变更;
- 仅连通域场景下支持跨资源池镜像
- 被DFW拦截的流量,和被QoS限制的流量,都会被流量镜像捕捉转发。
- 多网合一网口为镜像源端时,仅捕捉业务流量。
前提条件
无
操作步骤
- 进入[产品与服务/网络/流量镜像]页面,选择流量镜像的资源池,点击<创建>按钮,配置流量镜像策略。
- 平台支持配置3种流量镜像策略:虚拟网络内部流量镜像、虚拟网络流量镜像至物理网络、物理网口间流量镜像。
• 指定镜像源:
虚拟网络内部流量镜像:指定云主机/网络设备网口;
虚拟网络流量镜像至物理网络:指定云主机/网络设备网口;
物理网口间流量镜像:指定物理主机业务口。
• 指定镜像目的:
虚拟网络内部流量镜像:指定云主机/网络设备网口;
虚拟网络流量镜像至物理网络:指定物理主机业务口;
物理网口间流量镜像:指定物理主机业务口。
• VLAN ID:
虚拟网络内部流量镜像:无需填写。
虚拟网络流量镜像至物理网络:指定镜像报文所携带的VLAN ID。
物理网口间流量镜像:指定镜像报文所携带的VLAN ID。
• 采样率:源对象流量被镜像的比例,默认100%,表示流量被完全镜像。
• 流量方向:需要镜像的源对象流量方向。
输入/输出表示同时镜像源对象接收和发出的流量;
仅输入表示仅镜像源对象接收的流量;
仅输出表示仅镜像源对象发出的流量。
• 策略状态:勾选“启用”,则策略生效。
- 策略配置完成后,即可在目的端设备上监控到源端的网络流量。