网络流量镜像指南¶
网络流量镜像 (Switched Port Analyzer)一般可以用于网络监控、分析。 通过定义网络流量镜像的目标地址,加入 SPAN 的成员都会把网络流量按照 SPAN 定义的封装方式发送到目标地址。 SPAN使用二层GRE隧道来封装和发送报文,因此在接收镜像流量的对端要能识别并解析GRE报文。
创建 SPAN¶
创建SPAN可以指定以下项目:
- 流量类型:可选流入流量,流出流量和全部流量
- IP 地址:接收镜像流量的目标地址。对应的主机应该具有流量分析功能,并且能够支持GRE封装,比如镜像市场提供的EZSonar。
- 密钥:建立GRE隧道时两端共同使用的约定整型数字,比如 12345
注解
IP 地址只能是基础网络中的一台主机的地址,并且在其关联的防火墙中放行GRE流量,如下图:
添加 SPAN成员¶
加入 SPAN 的成员,就会将这台主机的流量发送到配置的SPAN IP。添加完成即开始发送镜像流量。
注解
由于GRE和虚拟网络会增加额外的包头,为了达到最佳性能,SPAN成员主机的 mtu 请设置为1408 (linux命令 ifconfig eth0 mtu 1408)。如果mtu高于1408, 流量镜像仍然工作,超过1408的数据包会自动切片,带来一定性能损失。
