ESXi环境镜像流量接入

前言

近期有小伙伴们在微信交流群里询问了流量接入的问题，本文以ESXi环境下流量接入配置为例进行说明。 本文主要演示如何将外部或内部的流量，接入到ESXi管理的某台虚拟机的虚拟网卡上（流量采集节点）。 用户可以参考，并根据自身实际环境进行流量接入的设置。

外部流量镜像接入

外部流量镜像接入过程可以概括为：接入待分析流量数据到物理网卡，新建虚拟交换机（vSwitch）接入从物理网卡（vmnic）采集到的数据，新建端口组（Network）建立虚拟交换机上的对外接口，再到分析平台所在虚拟机新建虚拟机网卡（vm）接入流量数据。 具体操作步骤如下：

1. 在网络管理页面，网络标签下，新建虚拟交换机（图中vSwitch3-Mirror），配置“上行链路”为已接入流量的物理网卡（图中vmnic4）。“安全”标签下，虚拟交换机的“允许混杂模式”配置为“是”。

2. 在网络管理页面，新建端口组（图中Mirror1），绑定到接入流量的虚拟交换机（图中vSwitch3-Mirror）。“安全”标签下端口组的“允许混杂模式”配置为“接受”。

3. 在运行分析程序的虚拟机的管理页面，添加网络适配器，绑定到流量镜像端口组（图中Mirror1）。

至此，从外部流量镜像到虚拟机网卡的配置完毕，虚拟交换机上网络链接关系如下图所示：

从内部接入流量镜像

内部流量镜像接入过程可以概括为：找到待分析流量数据所在虚拟交换机，在虚拟交换机（vSwitch）新建一个端口组（Network）用作流量采集，再把虚拟机网卡（vm）接入这个端口组采集数据。 具体操作步骤如下：

1. 在网络管理页面，定位到待分析目标流量所在的虚拟交换机（vSwitch/vDSwitch），记录该虚拟交换机名称（图中vSwitch1-LAN），进入该虚拟交换机配置页面，将该虚拟交换机的“允许混杂模式”配置为“是”。

2. 在网络管理页面，新建端口组（图中MirrorLAN），绑定到接入流量的虚拟交换机（图中vSwitch1-LAN）。“安全”标签下端口组的“允许混杂模式”配置为“接受”。

3. 在运行分析程序的虚拟机的管理页面，添加网络适配器，绑定到流量镜像端口组（图中MirrorLAN）。

至此，从内部流量镜像到虚拟机网卡的配置完毕，虚拟交换机上网络链接关系如下图所示：

进入流量分析平台所在虚拟机操作系统，配置新网卡进入混杂模式，从该网卡即可采集到流量镜像数据。

后语

本文以ESXi环境下流量镜像如何配置接入采集节点，进行了简要说明。 用户的网络环境可能复杂多样，流量接入需要根据实际情况具体配置。

流影定位于轻量级的网络安全态势感知与可视化分析平台，开源版本集成了流量探针、网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块， 实现了对网络流量全方位监测、网络行为多维度特征提取留存和网络威胁行为实时告警等基本功能。我们欢迎大家的使用反馈，特别是积极参与项目贡献。如果用户有商业定制化需求，也欢迎进行联系合作。