聚合仅用于Linux上接收连接的NIC

Question

我正在RedHat 6上建立一个网络监控系统，它将接收来自内联抽头的数据包馈送。该设备的功能之一是运行Snort。在系统中放置两个NIC进行tap是没有问题的，但是由于snortd的每个实例只能在单个接口上运行，因此单独监视两个接口将破坏流的重组和流跟踪。

既然这些NIC是只接收的，那么结合是否是聚合这些接口的正确方式？这些文档对我来说似乎意味着，由于我不在乎传输数据包，所以任何模式都可以满足我的需要。这是一个有效的假设吗？有什么奇怪的地方，我需要注意，如果我确实使用连接这一点？

Answer 1

Caveat: I've never configured such a beast in practice.

您所建议的应该是好的--只要键合接口只接收任何允许您在这两个接口上接收的键合模式，就会做您想做的事情。

我建议使用balance-xor或balance-rr，因为您不需要分配IP (您将以杂乱的模式侦听每个数据包)，并且不会传输，因此Round或XOR平衡的潜在缺点不会影响您，任何其他方法的好处都是毫无意义的。

对于这种实现，有几种连接模式我会避免：

• 模式1 (active-backup) 此模式将一个网卡置于“待机”模式中。您需要使用绑定模式，其中两个NIC都是“活动的”(或至少接收数据包)。
• 模式3 (broadcast -所有传输的东西都会在每个接口上传输) ，尽管正确的点击不会让你把数据放到你正在监控的网络上，但安全总比抱歉好。如果其中一个接口连接到将接受数据包的东西上，这种模式确实会给您的一天带来麻烦。
• 模式4 (802.3ad链接聚合) ，因为这需要一个能理解802.3ad链路聚合的交换机，而且您正在插入一个点击，这可能无法正常工作。

另一种选择是使用类似于网络图系统的东西( one2many模块是最好的候选)来构建一个虚拟接口，该接口重新组合通信量(并最终将其发送到一个黑洞，您的IDS在输出端侦听)。在BSD系列操作系统上，这将是一个更可行的解决方案，尽管Linux可以使用Netgraph实现。

Answer 2

你是正确的，几乎任何模式都可以。

如果您没有使用抽头，那么重要的配置将在您的网络交换机中。您必须选择一个负载平衡选项，该选项将尽可能均匀地在两个nics之间分配负载。每包循环会导致最好的分割，但大多数交换机不支持这一点。下一个最佳选择是IP，如果您正在监视的主机大多位于不同的子网上，或者mac地址(如果它们大多位于同一子网上)。

由于您使用的是tap，所以除了键合nics之外，不需要任何其他配置。