Mithilfe der Portspiegelung können Sie den gesamten von einer Quelle stammenden Datenverkehr replizieren und umleiten. Der gespiegelte Datenverkehr wird gekapselt innerhalb eines GRE-Tunnels (Generic Routing Encapsulation) an einen Collector gesendet, sodass alle ursprünglichen Paketinformationen erhalten bleiben, während das Netzwerk hin zu einem Remoteziel durchlaufen wird.

Die Portspiegelung wird in folgenden Fällen verwendet:
  • Fehlerbehebung – Analysieren Sie den Datenverkehr, um Eindringlinge zu erkennen und Fehler in einem Netzwerk zu diagnostizieren und zu beheben.
  • Übereinstimmung und Überwachung – Leiten Sie den gesamten überwachten Datenverkehr zur Analyse und Behebung an eine Network Appliance weiter.

Die Portspiegelung umfasst eine Quellgruppe, in der die Daten überwacht werden, und eine Zielgruppe, in die die gesammelten Daten kopiert werden. Die Kriterien für die Mitgliedschaft zu einer Quellgruppe erfordern eine Gruppierung von VMs auf der Grundlage der Arbeitslast, z. B. Webgruppe oder Anwendungsgruppe. Die Kriterien für die Mitgliedschaft zu einer Zielgruppe erfordern eine Gruppierung von VMs auf der Grundlage der IP-Adressen.

Die Portspiegelung verfügt über einen Erzwingungspunkt, an dem Sie Richtlinienregeln auf Ihre SDDC-Umgebung anwenden können.

Die Datenverkehrsrichtung für die Portspiegelung ist Ingress, Egress oder bidirektional.

  • Ingress ist der ausgehende Netzwerkverkehr von der VM zum logischen Netzwerk.
  • Egress ist der eingehende Netzwerkverkehr vom logischen Netzwerk zur VM.
  • Bidirektional ist der Verkehr von der VM zum logischen Netzwerk und vom logischen Netzwerk zur VM. Dies ist die Standardoption.

Weitere Informationen zur Portspiegelung mit NSX-T finden Sie unter Hinzufügen eines Portspiegelungsprofils im NSX-T Data Center-Administratorhandbuch.

Hinweis:

In einem SDDC, das Mitglied einer SDDC-Gruppe ist, wird der ausgehende Datenverkehr von Hosts zu Zielen außerhalb des SDDC-Netzwerks unabhängig von anderen Routing-Konfigurationen im SDDC an die VTGW oder private VIF geroutet. Dazu gehören IPFIX- und Portspiegelungs-Datenverkehr. Siehe Erstellen und Verwalten von SDDC-Bereitstellungsgruppen mit VMware Transit Connect in VMware Cloud on AWS Operations Guide.

Voraussetzungen

Wichtig:

Das Port-Mirroring kann viel Datenverkehr im Netzwerk erzeugen. Verwenden Sie als Best Practice für kurze Zeiten der Fehlerbehebung und Wartung maximal 6 VMs gleichzeitig.

Stellen Sie sicher, dass Arbeitslastgruppen mit IP-Adresse und VM-Mitgliedschaftskriterien verfügbar sind. Weitere Informationen hierzu finden Sie unter Hinzufügen oder Ändern einer Computing-Gruppe.

Prozedur

  1. Melden Sie sich bei der VMC Console unter https://vmc.vmware.com an.
  2. Wählen Sie Netzwerk und Sicherheit > Portspiegelung aus.
  3. Klicken Sie auf der Seite Portspiegelung auf PROFIL HINZUFÜGEN und legen Sie für das Profil einen Namen und eine optionale Beschreibung fest.
  4. Geben Sie die Profilparameter an.
    Parameter Beschreibung
    Richtung Wählen Sie in der Dropdown-Liste eine Datenverkehrsrichtung aus.
    Snap-Länge Geben Sie die Anzahl der Byte an, die von einem Paket erfasst werden sollen.
    Quelle Zu den Quellen können Segmente, Segmentports, Gruppen von VMs und Gruppen von vNICs gehören.
    Ziel Ziele sind Gruppen mit bis zu drei IP-Adressen. Sie können vorhandene Bestandslistengruppen verwenden oder neue auf der Seite Ziel festlegen erstellen.
    Kapselungstyp Muss GRE sein.
    GRE-Schlüssel

    Erkennt einen bestimmten GRE-Datenstrom gemäß der Definition in RFC 6245. Geben Sie einen zufälligen 32-Bit-Wert ein, um gespiegelte Pakete vom logischen Port zu erkennen.

    Dieser Schlüsselwert wird in der GRE-Kopfzeile jedes Spiegelpakets in das Feld „Schlüssel“ kopiert. Wenn der Schlüsselwert auf 0 festgelegt ist, wird die Standard-Definition in das Feld „Schlüssel“ der GRE-Kopfzeile kopiert.

    Der 32-Bit-Standardwert besteht aus den folgenden Werten.

    • Die ersten 24 Bit sind ein VNI-Wert. VNI ist ein Teil der IP-Kopfzeile gekapselter Frames.
    • Das 25. Bit gibt an, ob es sich bei den ersten 24 Bit um einen gültigen VNI-Wert handelt. 1 steht für einen gültigen Wert, 0 für einen ungültigen Wert.
    • Das 26. Bit gibt die Richtung des gespiegelten Datenverkehrs an. 1 steht für eingehend, 0 für ausgehend.
    • Die verbleibenden sechs Bit werden nicht verwendet.
  5. (Optional) Versehen Sie das Portspiegelungsprofil mit einem Tag.

    Weitere Informationen zum Taggen von NSX-T-Objekten finden Sie unter Hinzufügen von Tags zu einem Objekt im Administratorhandbuch für NSX-T Data Center.

  6. Klicken Sie auf SPEICHERN, um die Sitzung zu speichern.

Nächste Maßnahme

Klicken Sie neben einem Portspiegelungsprofil auf die Schaltfläche mit den vertikalen Auslassungspunkten und wählen Sie Bearbeiten aus, um die Konfiguration zu ändern.