我们最近发现硬件供应商在将端口聚合到监控端口方面存在一个缺陷。他们估计至少需要 6 个月的开发时间才能修复。由于这是我们的运营要求,我们需要找到另一种方法来访问此数据包数据。有没有办法将 Linux 网络接口上的所有流量镜像到另一个接口(包括入站和出站)?然后我们可以将监控盒连接到第二个端口并在那里捕获数据。
答案1
两种可能的想法:
在两个接口之间创建网桥并用于
brctl setageingtime 0
确保不学习任何地址,并且所有未发往网桥主机的数据包都通过接口转发。Sourcefire 的守护进程记录器可以将一个接口上的所有流量写入另一个接口。