使用場景

VPC與云下IDC的互連，進行東西向流量的入侵檢測。
核心價值 ：實現雙向流量（IDC?ECS）實時鏡像，支持威脅檢測平臺進行深度流量分析

方案涉及產品

• VPC ：邏輯隔離網絡環境
• 流量鏡像 ：流量捕獲與轉發核心組件
• 云專線 ：混合云互聯通道
• 云主機 ：承載業務應用（ECS1/ECS2）
• 彈性裸金屬 ：部署威脅檢測平臺（Pm1）

方案架構

實現方式

1. 基礎資源配置

（1）云上網絡規劃

資源類型	名稱	關鍵參數
VPC	VPC1	IPv4:10.1.0.0/16
子網	子網1	IPv4:10.1.1.0/24
VPC	VPC2	IPv4:10.2.0.0/16
子網	子網2	IPv4:10.2.1.0/24

（2）線下IDC配置

• 客戶側子網：172.168.1.0/24

2. 流量鏡像配置

（1）篩選條件（Mirror1）

入方向規則：

• IP范圍：源IP 172.168.1.0/24
• 協議：ALL
• 動作：采集

出方向規則：

• IP范圍：目的IP 172.168.1.0/24
• 協議：ALL
• 動作：采集

（2）鏡像會話（Session1）

• 鏡像源：ENI1（ECS1）、ENI2（ECS2）
• 鏡像目的：ENI3（Pm1）
• 篩選條件：Mirror1
• VNI：10001

3. 安全組配置（Pm1）

入方向規則（UDP 4789）：

• 協議：UDP
• 端口：4789
• 策略：允許

操作步驟

步驟一：創建云上VPC環境

配置云專線需要做好云上VPC和本地數據中心的網段規劃，具體操作步驟參見創建VPC

步驟二：開通云專線

1. 云專線的開通參見開通云專線。

2. 專線網關添加客戶側路由，點擊專線網關名稱，在客戶側路由頁簽下，點擊添加路由，配置如下：

   • IP類型：可選擇IPv4、IPv6和雙棧
   • 客戶側子網段：客戶側子網網段
   • 路由模式：靜態或BGP
   • 綁定入云物理專線，并設置物理專線優先級

3. 配置完成，點擊確定，完成專線網關客戶側路由。

4. 專線網關添加VPC，點擊專線網關名稱，在VPC頁簽下，點擊“添加VPC”，配置如下：

   • VPC實例類型：同賬號
   • VPC：在下拉框中選中已創建的VPC（VPC1）
   • VPC ID：根據VPC名稱自動生成
   • VPC網段：選擇指定的VPC網段（10.1.0.0/16）
   • 類型：可選擇IPv4、IPv6和雙棧
   • 子網：選定VPC中的中轉網段（10.1.1.0/24）
   • 權重：表示當前專線網關到VPC側路由的權重，多條路由的權重相等時采用負載均衡模式進行流量傳輸；某條路由的權重值越大，表示該路由優先級越高，可選擇0-100

5. 配置完成，點擊確定，完成添加VPC。

6. VPC添加完成，客戶側子網將自動發布到VPC默認路由表中。下一跳為云專線網關，下一跳地址為專線網關名稱，目的地址為客戶側子網網段。

7. 配置完成，點擊確定，完成添加。

步驟 三 ：創建篩選規則

1. 登錄天翼云控制臺，在控制中心頁面左上角選擇區域，本文我們選擇華東-華東1。
2. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
3. 在左側導航欄，選擇“流量鏡像-篩選條件”選項。
4. 在篩選條件頁面，點擊右上角的“創建篩選條件”按鈕。
5. 在創建篩選條件彈窗中，填寫篩選條件的名稱和描述。
6. 進入對應篩選條件的詳情頁，添加入方向規則。
7. 進入對應篩選條件的詳情頁，添加出方向規則。

步驟 四 ：購買鏡像會話

1. 登錄天翼云控制臺，在控制中心頁面左上角選擇區域，本文我們選擇華東-華東1。
2. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
3. 在左側導航欄，選擇“流量鏡像-鏡像會話”選項。
4. 在鏡像會話頁面，點擊右上角的“創建鏡像會話”按鈕。
5. 在創建鏡像會話界而中，填寫鏡像會話的名稱、VNI和描述，點擊”下一步”。
6. 選擇篩選條件，這里我們選擇已創建的mirror1，點擊”下一步”。
7. 選擇鏡像源，這里我們選擇ENI1和ENI2，點擊”下一步”。
8. 選擇鏡像目的，這里我們選擇ENI3，點擊”下一步”。
9. 選擇我已閱讀并同意相關協議，單擊“創建”，完成鏡像會放的創建。

步驟五：配置鏡像目的安全組

1. 登錄天翼云控制臺，在控制中心頁面左上角選擇區域，本文我們選擇華東-華東1。
2. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
3. 在左側導航欄，選擇“訪問控制-安全組”選項。
4. 在安全組列表頁面，找到您需要添加規則的安全組名稱，點擊安全組名稱，進入安全組詳情頁。
5. 點擊“添加規則”，根據界面提示配置安全組規則，確定授權策略、優先級、協議類型、端口范圍、源/目的地址等信息。

具體參數配置信息如下表：

參數	說明	取值樣例
IP版本	IPv4、IPv6	IPv4
授權策略	允許、拒絕	允許
優先級	安全組規則優先級可選范圍為1-100，默認值為1，即最高優先級。優先級數字越小，級別越高。優先級相同的情況下，拒絕策略優先于允許策略。	1
協議	網絡協議，取值范圍為：TCP，UDP，ICMP，Any。	UDP
端口范圍	安全組規則的端口范圍，取值范圍為：1～65535。支持同時輸入多個端口，以英文逗號分隔。多個端口值按照多條規則分別下發，占用多個配額。	4789
源地址/目的地址	源地址/目的地址支持類型：IP地址、安全組、前綴列表。支持同時輸入多個IP地址/安全組/前綴列表，按照多條規則分別下發，占用多個配額。	10.2.1.1/32
描述	安全組規則的描述信息，非必填項。

6. 點擊“確認”按鈕。

步驟六： 啟動鏡像會話功能

1. 登錄天翼云控制臺，在控制中心頁面左上角選擇區域，本文我們選擇華東-華東1。
2. 依次選擇“網絡”，單擊“虛擬私有云”；進入網絡控制臺頁面。
3. 在左側導航欄，選擇“流量鏡像-鏡像會話”選項。
4. 在鏡像會話頁面，找到需要啟動的鏡像會話，然后單擊該會話操作列的“啟動”按鈕。

驗證與排障

1. 流量捕獲驗證

登錄彈性裸金屬（pm1），查看鏡像目的是否可以獲取到鏡像源與線下IDC互通的數據包，如果獲取成功，則表示鏡像會話配置生效。

比如：

# 在Pm1執行抓包（需root權限） tcpdump -i eth0 -eennvv port 4789

成功標志 ：持續捕獲到內層源or目的IP為172.168.1.x，外層是VXLAN封裝的UDP報文。

2. 常見問題排查

現象	可能原因	解決方案
無鏡像流量	篩選條件配置錯誤	核對待鏡像報文的五元組信息
目的端無法接收	安全組未放行UDP 4789	檢查入方向規則配置