目录

引言

外部镜像网络流量的接入

内部接入流量镜像

后语

引言

本文以ESXi环境下流量接入配置为例,说明流影系统如何接入网络流量,主要演示如何将外部或内部的流量,接入到ESXi管理的某台虚拟机的虚拟网卡上(流量采集节点)。 用户可以参考本文的配置过程,并根据自身实际环境进行流量接入的设置。

外部镜像网络流量的接入

外部流量镜像接入过程概括为:接入待分析流量数据到物理网卡、新建虚拟交换机(vSwitch)接入从物理网卡(vmnic)采集到的数据、新建端口组(Network)建立虚拟交换机上的对外接口、再到分析平台所在虚拟机新建虚拟机网卡(vm)接入流量数据。 具体操作步骤如下:

1、在网络管理页面,网络标签下,新建虚拟交换机(图中vSwitch3-Mirror),配置“上行链路”为已接入流量的物理网卡(图中vmnic4)。“安全”标签下,虚拟交换机的“允许混杂模式”配置为“是”。

esxi7网络配置 esxi网络配置详解_网络

2、在网络管理页面,新建端口组(图中Mirror1),绑定到接入流量的虚拟交换机(图中vSwitch3-Mirror)。“安全”标签下端口组的“允许混杂模式”配置为“接受”。

 

esxi7网络配置 esxi网络配置详解_数据_02

 3、在运行分析程序的虚拟机的管理页面,添加网络适配器,绑定到流量镜像端口组(图中Mirror1)。

esxi7网络配置 esxi网络配置详解_Network_03

 至此,从外部流量镜像到虚拟机网卡的配置完毕,虚拟交换机上网络链接关系如下图所示:

esxi7网络配置 esxi网络配置详解_esxi7网络配置_04

内部接入流量镜像

内部流量镜像接入过程概括为:找到待分析流量数据所在虚拟交换机、在虚拟交换机(vSwitch)新建一个端口组(Network)用作流量采集、再把虚拟机网卡(vm)接入这个端口组采集数据。 具体操作步骤如下:

1、在网络管理页面,定位到待分析目标流量所在的虚拟交换机(vSwitch/vDSwitch),记录该虚拟交换机名称(图中vSwitch1-LAN),进入该虚拟交换机配置页面,将该虚拟交换机的“允许混杂模式”配置为“是”。

esxi7网络配置 esxi网络配置详解_数据_05

2、在网络管理页面,新建端口组(图中MirrorLAN),绑定到接入流量的虚拟交换机(图中vSwitch1-LAN)。“安全”标签下端口组的“允许混杂模式”配置为“接受”。

 

esxi7网络配置 esxi网络配置详解_网络_06

 3、在运行分析程序的虚拟机的管理页面,添加网络适配器,绑定到流量镜像端口组(图中MirrorLAN)。

esxi7网络配置 esxi网络配置详解_esxi7网络配置_07

 至此,从内部流量镜像到虚拟机网卡的配置完毕,虚拟交换机上网络链接关系如下图所示:

esxi7网络配置 esxi网络配置详解_网络适配器_08

 进入流量分析平台所在虚拟机操作系统,配置新网卡进入混杂模式,从该网卡即可采集到流量镜像数据。

后语

本文以ESXi环境下流量镜像如何配置接入采集节点,进行了简要说明。 用户的网络环境可能复杂多样,流量接入需要根据实际情况具体配置。

流影定位于轻量级的网络安全态势感知与可视化分析平台,开源版本集成了流量探针、网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块, 实现了对网络流量全方位监测、网络行为多维度特征提取留存和网络威胁行为实时告警等基本功能。欢迎大家使用反馈,积极参与项目贡献。