Chapitre 14. Mise en miroir des ports

Les administrateurs réseau peuvent utiliser la mise en miroir des ports pour répliquer le trafic réseau entrant et sortant communiqué d'un périphérique réseau à un autre. Les administrateurs utilisent la mise en miroir des ports pour surveiller le trafic réseau et collecter des données réseau pour :

  • Déboguer les problèmes de réseau et régler le flux du réseau
  • Inspecter et analyser le trafic réseau pour résoudre les problèmes de réseau
  • Détecter une intrusion

14.1. Mise en miroir d'une interface réseau à l'aide de nmcli

Vous pouvez configurer la mise en miroir des ports à l'aide de NetworkManager. La procédure suivante met en miroir le trafic réseau de enp1s0 à enp7s0 en ajoutant des règles et des filtres de contrôle du trafic (tc) à l'interface réseau enp1s0.

Conditions préalables

  • Une interface réseau vers laquelle le trafic réseau doit être mis en miroir.

Procédure

  1. Ajoutez un profil de connexion réseau à partir duquel vous souhaitez créer un miroir du trafic réseau : 

    # nmcli connection add type ethernet ifname enp1s0 con-name enp1s0 autoconnect no

  2. Attachez un prio qdisc à enp1s0 pour le trafic egress (sortant) avec la poignée 10:: 

    # nmcli connection modify enp1s0 tc.qdisc "root prio handle 10:"

    Le site prio qdisc fixé sans les enfants permet d'attacher des filtres.

  3. Ajoutez un qdisc pour le trafic entrant, avec la poignée ffff:: 

    # nmcli connection modify enp1s0 tc.qdisc "ingress handle ffff:"

  4. Ajoutez les filtres suivants pour faire correspondre les paquets à l'entrée et à la sortie de qdiscs, et pour les mettre en miroir sur enp7s0: 

    # nmcli connection modify enp1s0 +tc.tfilter "parent ffff: matchall action mirred egress mirror dev enp7s0"

# nmcli connection modify enp1s0 +tc.tfilter "parent 10: matchall action mirred egress mirror dev enp7s0"

    Le filtre matchall correspond à tous les paquets et l'action mirred redirige les paquets vers la destination.

  5. Activer la connexion : 

    # nmcli connection up enp1s0

Vérification

  1. Installez l'utilitaire tcpdump: 

    # dnf install tcpdump

  2. Afficher le trafic reflété sur l'appareil cible (enp7s0) : 

    # tcpdump -i enp7s0

Ressources supplémentaires