У нас есть полностью виртуальная среда для наших серверов. Я хочу использовать зеркалирование vDS для отправки трафика определенных виртуальных машин на наш датчик NIDS (Ubuntu 18.04, ядро 5.4.0-42-generic и iproute2-ss180813). Я установил ERSPAN Type II на датчик NIDS, NIC ens192 с IP 10.85.167.40. Я вижу инкапсулированный трафик, поступающий в ens192.
14:38:37.726877 IP hq-9phcic01h.internal.ieeeglobalspec.com > hunter-sensor: GREv0, seq 8856849, length 112: gre-proto-0x88be
Теперь мне нужно декапсулировать этот трафик, чтобы захватить исходные пакеты.
В одном примере, который мне удалось найти в Интернете, я сделал следующее:
$ ip link add dev mon0 type erspan seq key 30 local 192.168.1.4 remote 10.85.167.40 \
erspan_ver 1 erspan 123 dev ens192
$ tc qdisc add dev ens192 handle ffff: ingress
$ tc filter add dev ens192 parent ffff: \
matchall skip_hw action mirred egress \
mirror dev mon0
Теперь я вижу, что весь инкапсулированный трафик, поступающий на ens192, зеркалируется на mon0, но он все еще инкапсулирован.
У кого-нибудь есть реальный пример, как использовать встроенную поддержку erspan для декапсуляции трафика? Это уже несколько дней сводит меня с ума, а документация носит общий характер и не описывает то, что я хочу делать.
Огромное спасибо!
Максимум