Agregando NICs para receber apenas conexões no Linux

Navegue suas respostas
5

Estou configurando um sistema de monitoramento de rede no RedHat 6 que receberá o feed de pacotes de um toque inline. Uma das funções deste dispositivo será executar o Snort. Colocar duas NICs no sistema para o tap não é problema, entretanto, como cada instância do snortd pode operar somente em uma única interface, monitorar as duas interfaces separadamente quebrará a remontagem do fluxo e o rastreamento do fluxo.

Como essas NICs são apenas recebidas, está se ligando da maneira correta para agregar essas interfaces? A documentação quase parece implicar para mim que, como eu não poderia me importar menos com a transmissão de pacotes, qualquer modo fará o que eu preciso. Esta é uma suposição válida? Há alguma esquisitice que eu precisaria estar atento se eu usar a colagem para isso?

    
por Scott Pack 16.08.2012 / 21:13

2 respostas

4

Caveat: I've never configured such a beast in practice.

O que você está propondo deve ser bom - desde que a interface vinculada receba apenas qualquer modo de ligação que permita que você receba em ambas as interfaces, fará o que você deseja.
Eu sugeriria balance-xor ou balance-rr simplesmente porque você não precisa atribuir um IP (você estará ouvindo em modo promíscuo a todos os pacotes) e você não estará transmitindo, então as possíveis desvantagens de Round-Robin ou O balanceamento XOR não afetará você, e os benefícios de qualquer outro método não terão sentido.

Existem alguns modos de ligação que eu evitarei para essa implementação:

  • Modo 1 ( active-backup )
    Esse modo coloca uma NIC em um modo de "espera". Você precisa usar um modo de ligação em que ambas as NICs estejam "ativas" (ou pelo menos recebendo pacotes) para o que você está tentando fazer.

  • Modo 3 ( broadcast - Tudo transmitido sai de todas as interfaces)
    Mesmo que um toque adequado não permita que você coloque dados na rede que está monitorando, é melhor prevenir do que remediar. Este modo pode realmente atrapalhar seu dia se uma das interfaces for conectada a algo que aceita pacotes.

  • Modo 4 ( 802.3ad agregação de links)
    Como isso exige um switch que entenda a agregação de links 802.3ad e você esteja conectando a um toque, isso provavelmente não funcionará corretamente.

Uma opção alternativa seria usar algo como o sistema Netgraph (o one2many é o melhor candidato) para construir uma interface virtual que reagrupa o tráfego (e, finalmente, envia para um buraco negro, com o seu IDS ouvindo na saída final). Esta seria uma solução mais viável na família BSD de sistemas operacionais, embora existam implementações Netgraph disponíveis para o Linux.

    
por 16.08.2012 / 23:13
5

Você está correto em praticamente qualquer modo.

Se você não estivesse usando um toque, a configuração importante estaria no seu switch de rede. Você teria que escolher uma opção de balanceamento de carga que dividiria o máximo possível a carga entre suas duas nics. O round robin por pacote deve resultar na melhor divisão, mas a maioria dos switches não suporta isso. Em seguida, a melhor opção seria IP se os hosts que você está monitorando estiverem, na maioria das vezes, em uma sub-rede diferente ou em um endereço MAC, se estiverem na maior parte na mesma sub-rede.

Como você está usando um toque, nenhuma configuração adicional deve ser necessária além de vincular as nics.

    
por 16.08.2012 / 21:19

Tags

testando sinais em um cabo ethernet Erro PermGen em Java, enquanto o uso de memória parece baixo