Linux镜像克隆网卡的流量原理将利用Linux网桥镜像的克隆流量利用iptables tee模块实现流量镜像两种功能结合起来,可以实现全局一对多
参考:
3359 blog.51cto.com/host man/2106155
33559 www.cn blogs.com/nidey/p/6227963.html
3359 goyalankit.com/blog/Linux-bridge
3359 www.IBM.com/developer works/cn/Linux/1310 _ Xia WC _ network device /
系统版本: Centos7.4 3.10.0-693.el7.x86_64
原理1 .网桥是在Linux上用于交换TCP/IP双层协议的设备,功能与现实世界中的交换机相似。 Bridge设备实例可以连接到Linux上的其他网络设备实例。 这就像一个attach从设备,类似于在现实世界中的交换机和用户终端之间连接网线。 数据到达后,Bridge根据消息中的MAC信息进行广播、转发、丢弃处理。
2 .如果网卡接受数据帧的目标mac是本机mac,则通常上传到协议栈,并直接丢弃非本机mac
3.bridge不区分访问的是物理设备还是虚拟设备,对它来说是相同的,都是网络设备,因此em2加入br0后,遵循与虚拟网卡veth0相同的路径,从外部网络从br0传递到上层协议栈
5 .如果程序需要在br0上发送消息,协议栈会将消息传递给br0。 此时,br0发挥交换机的功能,在mac-端口映射表中查找数据帧传输端口。 其中,如果网桥的setageing条目设置为0s,交换机的mac-端口映射表留空,并且br0需要传输数据帧,则找不到相应的表条目,只能广播帧br0是
注:此方法只能克隆br0发出的通信,而不能克隆收到的通信
利用linux网桥镜像克隆流量
em3和server2em2都可以接收,来自77.60的消息
创建yum install brctl#网桥brctl addbr br0#,并将虚拟网卡或物理网卡添加到网桥中。 此时,原始网卡em2、em3和IP将被禁用。 brctladdifbroem2brctladdifbr0em3#设置MAC地址的有效期(以秒为单位)。 在time秒内,来自地址的帧消失后,网桥将从传输数据库(fdb )中超时该地址。 如果设置为#0,则广播网桥发送的数据帧,实现镜像功能brctl setageing br0 0#网桥ipvi/etc/sys config/network-scripts/if CFG-br0device=br0on boot=yes boot proto=none IP addr=192.168.77.60 prefix=24 type=bridge IPv6 init=no IPv6 _ au auuaud
iptables-iprerouting-t mangle-ie m1-jtee-- gateway 192.168.77.61 #通过tee模块将所有流入em1的流量转发到指定的地址也可以使用-s或-d指定表示源IP的网段- ie m1 iptables-iprerouting-t mangle-s 192.168.3.0/24-jtee--网关192.168.77.61 iptables-I postrouting-t mangle-oeth0- jtee--网关192.168.77.61 # em1或保存并配置iptables-dprerouting-t mangle-ie m1-jtee-gateway 192.168.77