Я настраиваю систему мониторинга сети на RedHat 6, которая будет получать поток пакетов от встроенного крана. Одной из функций этого устройства будет запуск Snort. Включение двух сетевых адаптеров в систему для ответвления - не проблема, однако, поскольку каждый экземпляр snortd может работать только с одним интерфейсом, мониторинг двух интерфейсов по отдельности нарушит большую часть повторной сборки потока и отслеживания потока.
Поскольку эти сетевые адаптеры предназначены только для приема, является ли соединение правильным способом объединения этих интерфейсов? Документация, кажется, почти подразумевает мне, что, поскольку мне наплевать на передачу пакетов, любой режим будет делать то, что мне нужно. Это верное предположение? Есть ли какие-нибудь странности, на которые мне нужно обратить внимание, если я использую для этого бондинг?
Вы правы, что подойдет практически любой режим.
Если бы вы не использовали ответвитель, важная конфигурация была бы в вашем сетевом коммутаторе. Вам нужно будет выбрать вариант балансировки нагрузки, который будет максимально равномерно распределять нагрузку между вашими двумя сетевыми адаптерами. Циклический перебор пакетов должен привести к наилучшему разделению, но большинство коммутаторов не поддерживают это. Следующим лучшим вариантом будет IP, если хосты, которые вы отслеживаете, в основном, находятся в другой подсети, или MAC-адрес, если они в основном находятся в одной подсети.
Поскольку вы используете ответвитель, никаких дополнительных настроек, кроме подключения сетевых адаптеров, не требуется.
Caveat: I've never configured such a beast in practice.
То, что вы предлагаете, должно быть в порядке - пока связанный интерфейс принимает только любой режим связывания, который позволяет вам получать на обоих интерфейсах, будет делать то, что вы хотите.
Я бы предложил balance-xor или balance-rr просто потому, что вам не нужно назначать IP-адрес (вы будете прослушивать каждый пакет в беспорядочном режиме), и вы не будете передавать, поэтому потенциальные недостатки балансировки Round-Robin или XOR не повлияют на вас, а преимущества любого другого метода бессмысленны.
Я бы хотел избегать для этой реализации:
Режим 1 (active-backup)
Этот режим переводит одну сетевую карту в режим ожидания. Вам необходимо использовать режим связывания, в котором оба сетевых адаптера являются «активными» (или, по крайней мере, принимают пакеты) для того, что вы пытаетесь сделать.
Режим 3 (broadcast - Все переданное выходит через каждый интерфейс)
Даже если правильное нажатие не позволит вам передать данные в сеть, которую вы отслеживаете, лучше перестраховаться, чем сожалеть. Этот режим может действительно испортить ваш день, если один из интерфейсов будет подключен к чему-то, что будет принимать пакеты.
Режим 4 (802.3ad Link Aggregation)
Поскольку для этого требуется коммутатор, который понимает агрегацию каналов 802.3ad, и вы подключаетесь к ответвителю, это, вероятно, не будет работать должным образом.
Альтернативный вариант - использовать что-то вроде Система Netgraph (в one2many модуль является лучшим кандидатом) для создания виртуального интерфейса, который повторно собирает трафик (и в конечном итоге отправляет его в черную дыру, а ваша IDS прослушивает на выходе). Это было бы более жизнеспособным решением для семейства операционных систем BSD, хотя для Linux доступны реализации Netgraph.