Mithilfe des Port-Mirroring können Sie Netzwerkdatenverkehr für Debugging- oder Fehlerbehebungszwecke analysieren. Das Port-Mirroring ermöglicht es Ihnen, alle Netzwerkpakete oder spezifischen Pakete, die auf dem Segment-Port (oder einem gesamten Segment) erkannt werden, auf einen anderen Segment-Port zu kopieren.

Folgende Arten von Portspiegelungssitzungen können erstellt werden:
  • Lokale SPAN
  • Remote-SPAN
  • Remote-L3 SPAN
  • Logische SPAN

Beachten Sie, dass die logische SPAN nur für logische Overlay-Switches und nicht für logische VLAN-Switches unterstützt wird.

Wenn Datenverkehr in großem Umfang auf eine Überwachungs-VM gespiegelt wird, kann es vorkommen, dass der Ringpuffer des Treibers voll wird und Pakete verworfen werden. Zur Behebung dieses Problems führen Sie eine oder mehrere der folgenden Aktionen durch:

  • Erhöhen Sie die Größe des rx-Ringpuffers.
  • Weisen Sie der VM mehr CPU-Ressourcen zu.
  • Verwenden Sie das Entwicklungs-Kit für die Datenebene (DPDK, Data Plane Development Kit) zur Verbesserung der Leistung der Paketverarbeitung.
Hinweis: Stellen Sie sicher, dass die MTU-Einstellung der Überwachungs-VM groß genug ist, um die Pakete zu verarbeiten. Dies ist speziell für gekapselte Pakete wichtig, da die Kapselung die Größe der Pakete erhöht. Andernfalls kann es vorkommen, dass Pakete verworfen werden. Dieses Problem tritt nicht bei ESXi-VMs mit VMXNET3-NICs auf, stellt aber ein potenzielles Problem mit anderen NIC-Typen dar.

Vor NSX 4.2 wurde für ENS-Fastpath nur Remote-L3 SPAN unterstützt. Wenn lokale SPAN- oder Remote-SPAN (RSPAN)-Sitzungen erstellt wurden, haben Produktionspakete pktHandle-Slowpath durchlaufen. Ab NSX 4.2 werden sowohl der lokale SPAN als auch der RSPAN für ENS-Fastpath unterstützt.

Für diese Funktion gelten folgende Einschränkungen:

  • Ein Quellspiegelport kann nur in einer Spiegelungssitzung vorhanden sein.
  • Bei einer lokalen SPAN-Sitzung müssen sich die Quell- und Zielports der Spiegelungssitzung auf demselben Host-vSwitch befinden. Deshalb kann, wenn Sie einen vMotion-Vorgang für eine VM durchführen, deren Quell- oder Zielport sich auf einem anderen Host befindet, der Datenverkehr auf diesem Port nicht mehr gespiegelt werden.
  • Für lokale SPAN- und RSPAN-Zielsitzungen ist kein normaler Datenverkehr auf Zielspiegelport zulässig.
  • Auf ESXi werden TCP-Rohpakete zur Produktion bei aktivierter Spiegelung auf dem Uplink mithilfe des Geneve-Protokolls von VDL2 in UDP-Pakete gekapselt. Eine physische NIC mit TSO-Unterstützung (TCP-Segmentierungs-Offload) kann die Pakete verändern und sie mit der MUST_TSO-Flag versehen. Auf einer Überwachungs-VM mit VMXNET3- oder E1000-vNICs werden die Pakete vom Treiber wie herkömmliche UDP-Pakete behandelt. Er kann die MUST_TSO-Flag nicht verarbeiten und verwirft die Pakete.
  • IPFIX berücksichtigt keine gespiegelten Pakete und die Traceflow- und die Live-Datenverkehrsanalyse verfolgen keine gespiegelten Pakete.
  • Wenn Sie eine RSPAN-Sitzung erstellen möchten, empfiehlt es sich, dass Sie in Ihrem Netzwerk einige VLANs reservieren, die als RSPAN-VLANs verwendet werden. Weisen Sie diesen VLANs keine Segmentports zu. RSPAN-VLANs müssen dedizierte VLANs sein und dürfen nicht als Switching-VLAN oder Transport-VLAN verwendet werden. Wenn Sie ein RSPAN-VLAN als Transport-, Switching- oder Trunk-VLAN hinzugefügt haben, erhalten Sie während des Upgrades auf NSX 4.2 eine Fehlermeldung, die Sie auffordert, diese RSPAN-VLANs in RSPAN-Quell- und -Zielsitzungen zu aktualisieren.
  • Sie können für RSPAN-Zielsitzungen bis zu 16 RSPAN-VLANs erstellen.
  • Sie können ein einzelnes VLAN nicht als Spiegelungsquelle über mehrere RSPAN-Zielsitzungen hinweg einschließen.
  • Das RSPAN-Ziel überwacht keinen eingehenden vNIC-Datenverkehr.
  • Die Spiegelungsfilterung müssen Sie an der RSPAN-Quelle und nicht am RSPAN-Ziel implementieren, da das RSPAN-Ziel zum Empfangen gespiegelter Pakete verwendet wird. Wenn Sie die Spiegelungsfilterung für das RSPAN-Ziel vor dem Upgrade auf NSX 4.2 konfiguriert haben, müssen Sie die Spiegelungsfilterungskonfiguration entfernen.

Voraussetzungen

Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren der Benutzeroberflächeneinstellungen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Planen und Fehler beheben > Port-Mirroring > Port-Mirroring-Sitzung aus.
  3. Klicken Sie auf Hinzufügen und wählen Sie einen Sitzungstyp aus.
    Folgende Typen sind verfügbar: Lokale SPAN, Remote-SPAN, Remote-L3 SPAN und Logische SPAN.
  4. Geben Sie einen Namen und optional eine Beschreibung für die Sitzung ein.
  5. Geben Sie zusätzliche Parameter an.
    Sitzungstyp Parameter
    Lokale SPAN
    • Transportknoten – wählen Sie einen Transportknoten aus.
    • Richtung – wählen Sie Bidirektional, Ingressoder Egress aus.
    • Paketkürzung – wählen Sie einen Wert für die Paketkürzung aus.
    Remote-SPAN
    • Sitzungstyp – wählen Sie RSPAN-Quellsitzung oder RSPAN-Zielsitzung aus.
    • Transportknoten – wählen Sie einen Transportknoten aus.
    • Richtung – wählen Sie Bidirektional, Ingressoder Egress aus.
    • Paketkürzung – wählen Sie einen Wert für die Paketkürzung aus.
    • Gekapselte VLAN-ID VLAN-ID – geben Sie eine gekapselte VLAN-ID an.
    • Ursprungs-VLAN beibehalten – Legen Sie fest, ob die ursprüngliche VLAN-ID beibehalten werden soll.
    Remote-L3 SPAN
    • Kapselung – wählen Sie GRE, ERSPAN TWO oder ERSPAN THREE aus.
    • GRE-Schlüssel – geben Sie einen GRE-Schlüssel an, wenn Sie für „Kapselung“ die Option GRE ausgewählt haben. ERSPAN-ID – geben Sie eine ERSPAN-ID an, wenn Sie für „Kapselung“ eine der Optionen ERSPAN TWO oder ERSPAN THREE ausgewählt haben.
    • Richtung – wählen Sie Bidirektional, Ingressoder Egress aus.
    • Paketkürzung – wählen Sie einen Wert für die Paketkürzung aus.
    Logische SPAN
    • Logischer Switch – wählen Sie einen logischen Switch aus.
    • Richtung – wählen Sie Bidirektional, Ingressoder Egress aus.
    • Paketkürzung – wählen Sie einen Wert für die Paketkürzung aus.
  6. Klicken Sie auf Weiter.
  7. Geben Sie Quellinformationen an.
    Sitzungstyp Parameter
    Lokale SPAN
    • Wählen Sie einen VDS aus.
    • Wählen Sie physische Schnittstellen aus.
    • Aktivieren oder deaktivieren Sie die Kapselung von Paketen.
    • Wählen Sie virtuelle Maschinen aus.
    • Wählen Sie virtuelle Schnittstellen aus.
    Remote-SPAN
    • Wählen Sie virtuelle Maschinen aus.
    • Wählen Sie virtuelle Schnittstellen aus.
    Remote-L3 SPAN
    • Wählen Sie virtuelle Maschinen aus.
    • Wählen Sie virtuelle Schnittstellen aus.
    • Wählen Sie einen logischen Switch aus.
    Logische SPAN
    • Wählen Sie logische Ports aus.
  8. Klicken Sie auf Weiter.
  9. Geben Sie Zielinformationen an.
    Sitzungstyp Parameter
    Lokale SPAN
    • Wählen Sie virtuelle Maschinen aus.
    • Wählen Sie virtuelle Schnittstellen aus.
    Remote-SPAN
    • Wählen Sie einen VDS aus.
    • Wählen Sie physische Schnittstellen aus.
    Remote-L3 SPAN
    • Geben Sie eine IPv4-Adresse an.
    Logische SPAN
    • Wählen Sie logische Ports aus.
  10. Klicken Sie auf Speichern.
    Die Quelle und das Ziel können nach dem Speichern der Port-Mirroring-Sitzung nicht mehr geändert werden.