Mithilfe des Port-Mirroring können Sie Netzwerkdatenverkehr für Debugging- oder Fehlerbehebungszwecke analysieren. Das Port-Mirroring ermöglicht es Ihnen, alle Netzwerkpakete oder spezifischen Pakete, die auf dem Segment-Port (oder einem gesamten Segment) erkannt werden, auf einen anderen Segment-Port zu kopieren.
- Lokale SPAN
- Remote-SPAN
- Remote-L3 SPAN
- Logische SPAN
Beachten Sie, dass die logische SPAN nur für logische Overlay-Switches und nicht für logische VLAN-Switches unterstützt wird.
Wenn Datenverkehr in großem Umfang auf eine Überwachungs-VM gespiegelt wird, kann es vorkommen, dass der Ringpuffer des Treibers voll wird und Pakete verworfen werden. Zur Behebung dieses Problems führen Sie eine oder mehrere der folgenden Aktionen durch:
- Erhöhen Sie die Größe des rx-Ringpuffers.
- Weisen Sie der VM mehr CPU-Ressourcen zu.
- Verwenden Sie das Entwicklungs-Kit für die Datenebene (DPDK, Data Plane Development Kit) zur Verbesserung der Leistung der Paketverarbeitung.
Vor NSX 4.2 wurde für ENS-Fastpath nur Remote-L3 SPAN unterstützt. Wenn lokale SPAN- oder Remote-SPAN (RSPAN)-Sitzungen erstellt wurden, haben Produktionspakete pktHandle-Slowpath durchlaufen. Ab NSX 4.2 werden sowohl der lokale SPAN als auch der RSPAN für ENS-Fastpath unterstützt.
Für diese Funktion gelten folgende Einschränkungen:
- Ein Quellspiegelport kann nur in einer Spiegelungssitzung vorhanden sein.
- Bei einer lokalen SPAN-Sitzung müssen sich die Quell- und Zielports der Spiegelungssitzung auf demselben Host-vSwitch befinden. Deshalb kann, wenn Sie einen vMotion-Vorgang für eine VM durchführen, deren Quell- oder Zielport sich auf einem anderen Host befindet, der Datenverkehr auf diesem Port nicht mehr gespiegelt werden.
- Für lokale SPAN- und RSPAN-Zielsitzungen ist kein normaler Datenverkehr auf Zielspiegelport zulässig.
- Auf ESXi werden TCP-Rohpakete zur Produktion bei aktivierter Spiegelung auf dem Uplink mithilfe des Geneve-Protokolls von VDL2 in UDP-Pakete gekapselt. Eine physische NIC mit TSO-Unterstützung (TCP-Segmentierungs-Offload) kann die Pakete verändern und sie mit der MUST_TSO-Flag versehen. Auf einer Überwachungs-VM mit VMXNET3- oder E1000-vNICs werden die Pakete vom Treiber wie herkömmliche UDP-Pakete behandelt. Er kann die MUST_TSO-Flag nicht verarbeiten und verwirft die Pakete.
- IPFIX berücksichtigt keine gespiegelten Pakete und die Traceflow- und die Live-Datenverkehrsanalyse verfolgen keine gespiegelten Pakete.
- Wenn Sie eine RSPAN-Sitzung erstellen möchten, empfiehlt es sich, dass Sie in Ihrem Netzwerk einige VLANs reservieren, die als RSPAN-VLANs verwendet werden. Weisen Sie diesen VLANs keine Segmentports zu. RSPAN-VLANs müssen dedizierte VLANs sein und dürfen nicht als Switching-VLAN oder Transport-VLAN verwendet werden. Wenn Sie ein RSPAN-VLAN als Transport-, Switching- oder Trunk-VLAN hinzugefügt haben, erhalten Sie während des Upgrades auf NSX 4.2 eine Fehlermeldung, die Sie auffordert, diese RSPAN-VLANs in RSPAN-Quell- und -Zielsitzungen zu aktualisieren.
- Sie können für RSPAN-Zielsitzungen bis zu 16 RSPAN-VLANs erstellen.
- Sie können ein einzelnes VLAN nicht als Spiegelungsquelle über mehrere RSPAN-Zielsitzungen hinweg einschließen.
- Das RSPAN-Ziel überwacht keinen eingehenden vNIC-Datenverkehr.
- Die Spiegelungsfilterung müssen Sie an der RSPAN-Quelle und nicht am RSPAN-Ziel implementieren, da das RSPAN-Ziel zum Empfangen gespiegelter Pakete verwendet wird. Wenn Sie die Spiegelungsfilterung für das RSPAN-Ziel vor dem Upgrade auf NSX 4.2 konfiguriert haben, müssen Sie die Spiegelungsfilterungskonfiguration entfernen.
Voraussetzungen
Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren der Benutzeroberflächeneinstellungen.