本實作利用Linux虛擬機實作虛擬網路流量複製器,將實體機內部Inter-VM的東、西向流量複製出來,並透過GRETAP隧道傳送至外部資安偵測設備,進行惡意行為檢測,提升虛擬網路可視性
系統架構如下
於VMware vSS或vDS設定混雜模式Port Group
安裝Traffic Replicator
OS : Ubuntu 22.04.2 LTS
作業系統網路配置
VM網路卡配置
安裝Traffic Forwarder
OS : Ubuntu 22.04.2 LTS
作業系統網路配置
在Traffic Replicator和Traffic Forwarder間建立GRETAP隧道
Traffic Replicator
#ip link add name tun0 type gretap remote 140.110.93.227 local 140.110.93.228
#ip link set tun0 up
#ip addr add 10.0.0.1/24 dev tun0
#brctl addbr br0
#brctl stp br0 off
#brctl addif br0 ens192
#ifconfig br0 up
Traffic Forwarder
#ip link add tun0 type gretap remote 140.110.93.228 local 140.110.93.227
#ip link set tun0 up
#ip addr add 10.0.0.2/24 dev tun0
在Traffic Replicator和Traffic Forwarder上分別設定tc複製流量
Traffic Replicator
#tc qdisc add dev ens192 ingress
#tc filter add dev ens192 parent ffff: protocol all u32 match ip src 140.110.93.229/32 match ip dst 140.110.93.227/32 action mirred egress mirror dev tun0
#tc filter add dev ens192 parent ffff: protocol all u32 match ip src 140.110.93.227/32 match ip dst 140.110.93.229/32 action mirred egress mirror dev tun0
Traffic Forwarder
#tc qdisc add dev tun0 ingress
#tc filter add dev tun0 parent ffff: protocol all u32 match ip src 140.110.93.229/32 match ip dst 140.110.93.227/32 action mirred egress mirror dev eno2
#tc filter add dev tun0 parent ffff: protocol all u32 match ip src 140.110.93.227/32 match ip dst 140.110.93.229/32 action mirred egress mirror dev eno2
沒有留言:
張貼留言