tencent cloud

流量镜像提供流量采集服务，可将指定弹性网卡上的流量按五元组等条件过滤，并复制转发至同 VPC 下的 CVM 上，适用于安全审计、风险监测、故障排障、业务分析等场景。本文将介绍如何创建流量镜像。

说明：

目前流量镜像处于内测中，如有需要，请 提交工单，为避免多次申请，建议保存好申请时获取的链接，方便您登录流量镜像控制台。

前提条件

请确保被采集流量的 IP 与流量接收 IP 在同一个 VPC 内，且流量采集 IP 有针对流量接收 IP 的路由表。

操作步骤

步骤一：设置采集流量

1. 请使用通过 工单申请 获取的链接，登录流量镜像控制台，在顶部导航栏，选择待创建流量镜像的地域。
2. 在流量镜像页面单击 +新建。

   说明：

   每个 VPC 最多创建5个流量镜像。

3. 在设置采集流量页面进行如下配置：
   • 请填写流量镜像的名称，不超过60字符。
   • 选择“所属网络”。
   • 流量“采集范围”为“弹性网卡”，即采集 VPC 内除绑定接收 IP 的弹性网卡的流量。选择弹性网卡后，需勾选具体弹性网卡。
     
   • 选择“采集类型”：根据业务类型选择采集流量方向，支持“全部流量”、“出流量”和“入流量”。
   • 选择“流量过滤”方式：根据业务类型选择流量过滤方式，过滤掉不需要的流量可以减轻镜像的规模和压力。
     • 不过滤：采集配置的全部流量。
     • 五元组：采集满足五元组条件的流量。选择“五元组”后，需设置“协议”、“源网段”、“目的网段”、“源端口”和“目的端口”。若需增加筛选条件，请单击“添加”，多个筛选条件为“与”关系。
       
   • 下一跳为 NAT 网关：采集下一跳为 NAT 网关的流量。选择“下一跳为 NAT 网关”后，需在“筛选条件”右侧选择具体 NAT 网关。
4. 完成配置后，单击“下一步”。

步骤二：设置接收流量

1. 在设置接收流量页面配置如下信息：
   • “目标类型”：选择接收转发流量的目标弹性网卡。

     说明：

     • 至少需选择一个目标弹性网卡。
     • 在 VPC 内，目标弹性网卡的流量不会被采集。

   • 均衡方式：选择如下一种方式。
     • 流量均分：所有流量随机均匀分到目标弹性网卡中。
     • 按弹性网卡 HASH：将来自同一个网卡的流量转发到同一个目标弹性网卡中。
       
2. 完成配置后，单击确定。

结果验证

注意：

本文以采集源端弹性网卡10.0.0.14访问网站 www.qq.com 的“出流量”镜像为例。

1. 返回流量镜像页面，创建的流量镜像显示在列表中，且启用采集为开启，则表示流量镜像任务创建成功。
   

2. 执⾏如下操作，验证采集端的流量是否正常镜像到接收端。

   1. 构造弹性网卡流量，例如您可以登录采集源端 CVM，执行 ping 公网 IP来构造流量。
      source 源数据：
      

   2. 登录接收端云服务器，执行如下命令抓取数据并保存为“.cap”或“.pcap”⽂件。本例以“.pcap”为例。

      tcpdump -i eth0 -w capture-2020-10-27.pcap    #⽂件名可⾃定义，请根据实际填写
      

      Destination 数据包:
      

   3. 使⽤终端模拟⼯具（例如 SecureCRT 等）登录接收端服务器，将 步骤ii 中保存的⽂件导出到本地。

      sz -bye capture-2020-10-27.pcap
      

   4. 使⽤报⽂解析⼯具（例如 Wireshark ⼯具）打开下载到本地的⽂件“capture-2020-10-27.pcap”获取数据详情，例如，本例中已从镜像接收端云服务端获取到采集源端的出流量12个数据包。

   包校验：
   

3. 如获取到数据包异常或⽆法正常获取到数据包，请 提交工单

后续步骤

• 启停流量镜像
• 修改流量镜像
• 添加标签
• 删除流量镜像