檢視次數:

在 VMware NSX 中配置埠鏡像,以允許虛擬網路感測器監控網路流量。

開始之前

VMware NSX 版本 4.2.2 支援兩種埠鏡像方法:
  • 邏輯 SPAN:鏡像同一 NSX 區段內的流量。當虛擬網路感測器資料埠與您要監控的虛擬機位於同一區段時,請使用此方法。
  • 遠端 L3 SPAN:使用封裝技術跨越第三層邊界鏡像流量。當虛擬網路感測器與您想要監控的虛擬機位於不同的網路區段時,請使用此方法。
在 NSX 中配置埠鏡像之前,請完成以下虛擬網路感測器 CLI 設定:
  1. 在虛擬網路感測器上啟用 Geneve。
    在虛擬網路感測器 CLI 主控台上,執行以下命令:
    enable
configure ncie geneve enable
  2. 將資料埠的MTU更改為9000。
    例如,如果資料防護埠是eth1,請執行以下命令:
    enable
configure interface eth1
mtu 9000
  3. 根據您的網路拓撲選擇以下其中一種端口鏡像方法,並在 NSX Manager 控制台中配置設定:
在配置埠鏡像後,請訪問虛擬網路感測器 CLI 主控台,並使用命令show traffic來驗證虛擬網路感測器是否正在接收流量。如需有關疑難排解的詳細資訊,請參閱虛擬網路感測器常見問題虛擬網路感測器 CLI 命令

邏輯 SPAN 上層主題

當虛擬網路感測器資料埠與被監控的虛擬機位於相同的 NSX 區段時,使用邏輯 SPAN 來鏡像流量。

邏輯 SPAN 在 NSX 區段內本地鏡像流量。虛擬網路感測器的資料埠必須分配到與您想要監控的虛擬機相同的區段。

步驟

  1. 確認虛擬網路感測器資料端口已分配到您想要監控的 NSX 區段。
    在 VMware vCenter 控制台中,檢查虛擬網路感測器的 VM 設定,並確認資料埠網路介面卡已連接到目標區段。
  2. 在 NSX Manager 主控台,移至「Plan & Troubleshoot」「Port Mirroring」
  3. 按一下「ADD SESSION」,然後選取「Logical SPAN」
  4. 為會話指定一個名稱,並將方向設置為「Bi Directional」
  5. 配置目的地以指定虛擬網路感測器資料防護端口:
    1. 點擊「Set」旁邊的「目標」
    2. 將類別更改為「Group of Virtual Network Interfaces」並點擊「ADD GROUP」
    3. 指定群組名稱,然後在「Compute Members」下點擊「Set」
    4. 選擇虛擬網路感測器資料埠,然後點擊「APPLY」
    5. 按一下「SAVE」以儲存群組。
    6. 按一下「APPLY」以套用目的地設定。
  6. 配置來源以指定您想要監控的虛擬機:
    1. 點擊「Set」旁邊的「來源」
    2. 將類別更改為「Group of Virtual Network Interfaces」
    3. 指定群組名稱,然後在「Compute Members」旁邊點擊「Set」
    4. 選取您要監控的虛擬機,然後按一下「APPLY」
    5. 按一下「SAVE」以儲存群組。
  7. 按一下「SAVE」以儲存埠鏡像會話。

遠端 L3 SPAN 上層主題

當虛擬網路感測器位於與被監控虛擬機不同的網路區段時,使用遠端 L3 SPAN 來鏡像流量。

遠端 L3 SPAN 使用封裝技術來鏡像跨越第 3 層邊界的流量。在執行遠端 L3 SPAN 的 ESXi 主機上,必須能路由到虛擬網路感測器上配置的目標 IP 位址。

步驟

  1. 在虛擬網路感測器 CLI 主控台中,輸入 show interface,並識別顯示 Supported 的封裝遠端鏡像的網路介面。
  2. 在選定的介面上執行以下命令以啟用封裝的遠端鏡像:
    <network_interface_name> 替換為在前一步驟中識別的網路介面名稱,並將 <ip_address> 替換為可從執行遠端 L3 SPAN 的 ESXi 主機路由的 IP 位址。
    enable
configure interface <network_interface_name>
ip-encap enable <ip_address>
  3. 透過輸入show interface來驗證配置,並確認 IP 位址顯示在 Encapsulated Remote Mirroring 旁邊。
  4. 在 NSX Manager 主控台,移至「Plan & Troubleshoot」「Port Mirroring」
  5. 按一下「ADD SESSION」,然後選取「Remote L3 SPAN」
  6. 指定會話名稱並將方向設置為「Bi Directional」
  7. 配置目的地以指定虛擬網路感測器的 IP 位址:
    1. 點擊「Set」旁邊的「目標」
    2. 點擊「ADD GROUP」,指定群組名稱,然後在「Compute Members」下點擊「Set」
    3. 點擊「Enter IP Addresses」,然後輸入您在之前步驟中於虛擬網路感測器 CLI 上設定的 IP 位址。
    4. 點擊「APPLY」
    5. 按一下「SAVE」以儲存群組。
    6. 按一下「APPLY」以套用目的地設定。
  8. 配置來源以指定您想要監控的虛擬機:
    1. 點擊「Set」旁邊的「來源」
    2. 將類別更改為「Group of Virtual Network Interfaces」
    3. 指定群組名稱,然後在「Compute Members」下點擊「Set」
    4. 選取您要監控的虛擬機,然後按一下「APPLY」
    5. 按一下「SAVE」以儲存群組。
  9. 按一下「SAVE」以儲存埠鏡像會話。