我们最近发现硬件供应商有能力将聚合端口移植到监控端口。 他们给了我们一个估计至less6个月的发展,以解决问题。 由于这是我们的操作要求,我们需要找出另一种方式来访问这个分组数据。 有没有办法将所有的stream量从linux的networking接口镜像到另一个接口(包括入站和出站)? 然后,我们可以将监视框附加到第二个端口并在那里捕获数据。
两个可能的想法:
在两个接口之间创build一个网桥,并使用brctl setageingtime 0来确保没有地址被学习,并且所有不发往桥主机的数据包都通过接口转发。
Sourcefire的Daemonlogger可以将一个接口上的所有stream量写入另一个接口。