0

我试图在tcGRE-Tunnel的帮助下从一个接口镜像“所有”网络流量tun0。GRE 隧道工作正常,我可以通过它 ping 并发送数据包,没有任何问题。我使用以下命令添加了tc-qdiscand :tc-filter

tc qdisc add dev ens5 ingress

tc filter add dev ens5 parent ffff: \
protocol all \
u32 match u8 0 0 \
action mirred egress mirror dev tun0


tc qdisc add dev ens5 handle 1: root prio

tc filter add dev ens5 parent 1: \
protocol all \
u32 match u8 0 0 \
action mirred egress mirror dev tun0

就像在本教程中一样

问题

问题是只有入口流量通过 GRE 隧道。当我通过接口 ping 另一台计算机时,ens5我只能icmp echo replies通过tun0接口获得。我究竟做错了什么?

调试

ubuntu@switch:~$ tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
10:23:28.952197 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 1, length 64
10:23:29.954454 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 2, length 64
10:23:30.952864 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 3, length 64
10:23:31.953207 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 4, length 64
10:23:32.955350 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 5, length 64
10:23:33.957000 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 6, length 64
10:23:34.956313 IP 192.168.20.12 > 192.168.20.15: ICMP echo reply, id 3453, seq 7, length 64
4

2 回答 2

2

自己解决了问题。

tc 镜像带有以太网报头的出口流量不带以太网报头的入口流量GRE 隧道只需要 IP 数据包,因此存在报头不匹配。如果我使用 VXLAN 而不是 GRE,它可以正常工作。

于 2016-12-15T13:04:39.493 回答
0

我从未使用过 GRE-Tunnels,但根据您发布的教程链接,它与桥接接口有关吗?我目前还在桥接口上使用 Linux 流量控制 (tc) - 在我的情况下,它是由 Docker 创建的桥,我必须操纵流量(不仅仅是重定向它)。

根据我的经验,我可以告诉您,当您将 tc 类/过滤器添加到桥接接口时,tc 并没有像预期的那样工作。它主要基于桥上入口和出口流量的定义,这(对我来说)非常令人困惑。我还用 ICMP-Ping 功能测试了我的 tc 配置,和你一样,我也只能操纵 ICMP 回复。

我的假设是 tc 没有对 ICMP 请求做出反应,就像我的情况一样,它只是在网桥端口之间切换而不是路由。我能够通过使用 ebtables ( http://ebtables.netfilter.org )删除它来处理 tc 的 ICMP 请求,因此强制它被路由而不是在桥端口之间切换。

我仍然不确定这是否可以解决您的问题,因为我不确定 GRE-Tunnels 是如何工作的,或者它们是如何实现的。

于 2016-12-13T08:44:23.803 回答