秒懂丨云计算环境的镜像流量，比给女生送礼物简单多了

我是IT运维岩小强，好久不见
前几天，领导布置了新任务
公司新增业务上云，必须保证云端业务安全
作为一个传统的IT技术男
你问我什么感觉？
那当然是很高（beng）兴（kui）！

并顺手打开了BOSS弯聘、58不成

准备骑上我心爱的小摩托，转战互联网行业

为什么我如此自信搞不定云端安全？

那是因为传统的硬件环境

大量设备在同一个机房直连或近乎直连

可以通过硬件交换芯片

方便的流量镜像给

IDPS/APT/态势感知等安全设备

就好像你和女生面对面

Person to person（简称P2P）

你送她个礼物，触手可及

而在云端，组网是这个样的

▼

图注：云端组网结构图

（我知道你和我一样没看懂）

翻译一下

就好像你和女朋友视频聊天

好似面对面实际可能相距甚远

而你原本一伸手

就能把礼物送给女生

在云上，事情开始变得有（kun）趣（nan）

怎么办？聪明如你可能会说

当面无法发送

那就通过快递远程传输呗

但是“云端快递”有2大难点：

1是溯源，2是物流

溯源指：传输需要记录源IP，目的IP信息

收件人才知道是你

方便女生收到礼物（如口红）

发现你搞错了色号的时候

把你拉黑！！！

而快递的包裹，也就是外层

可以封装一层信息

NEW源IP，NEW目的IP

这个包裹，业内称为GRE隧道

图注：GRE隧道工作图

可能好奇的小伙伴又要问了：

隧道技术那么多，为什么是GRE？

答：GRE隧道是隧道中比较简单的一种

无需两端协商，实现简单。

通过使用GRE隧道对镜像流量进行封装

将外层的源MAC封装为自己的MAC

目的MAC为下一跳的MAC；

源IP为自己的IP

目的IP为目的地的IP地址

从而符合虚拟网络的限制

简单说，也就是通过GRE封装的包裹技术

将礼物投递到女生手中，女生拆开包裹

一眼望去，都是你的名字（源IP信息）

物流指：因为云端环境没有硬件交换芯片

所以需要通过CPU实现软交换

需要对1条session，2个方向的flow

进行精准的，bit级别的100%模拟

即使你有多个朋友

也可以一次复制，多份分发

当然，你知道总没有十全十美的事情，

最后总结2点限制：

1. 通过GRE封装，丢失了原始报文的MAC头

原因是GRE封装的下层协议只能是传输层协议。
但是对于安全设备、流量分析设备

并不关注MAC地址信息

再加上公有云及SDN网络的ARP

基本都是云平台代答

所以MAC地址信息对安全分析

也没有那么大的意义

2. 对端接受流量的网元也需要支持解GRE封装
   简单说，也就是接收端女生

需要会拆快递

我想如果礼物足够吸引

每个女生都是天生的拆快递高手吧

最后，小伙伴肯定要问

这么好的云端快递方式，哪里能提供呢？

山石网科虚拟化应用交付AX系列

适配主流公有云，私有云平台

图注：山石网科虚拟化应用交付AX系列
支持云平台

欢迎骚扰！