La mise en miroir de port vous permet de répliquer et rediriger tout le trafic provenant d'une source. Le trafic en miroir est envoyé encapsulé dans un tunnel d'encapsulation de routage générique (GRE) à un collecteur afin que toutes les informations de paquet d'origine soient conservées lors de la traversée du réseau vers une destination distante.

La mise en miroir de port est utilisée dans les scénarios suivants :
  • Dépannage : analyser le trafic pour détecter les intrusions, et pour déboguer et diagnostiquer les erreurs sur un réseau.
  • Conformité et surveillance : transférer tout le trafic surveillé à un dispositif réseau pour analyse et correction.

La mise en miroir de port inclut un groupe source dans lequel les données sont surveillées et un groupe de destination dans lequel les données collectées sont copiées. Les critères d'appartenance au groupe source imposent que les machines virtuelles soient regroupées en fonction de la charge de travail (par exemple, par groupe Web ou par groupe d'applications). Les critères d'appartenance au groupe de destination imposent que les machines virtuelles soient regroupées en fonction des adresses IP.

La mise en miroir de ports dispose d'un point d'application, où vous pouvez appliquer des règles de stratégie à votre environnement SDDC.

La direction du trafic pour la mise en miroir de port est Entrée, Sortie ou Bidirectionnel.

  • Entrée est le trafic réseau sortant de la machine virtuelle vers le réseau logique.
  • Sortie est le trafic réseau entrant du réseau logique vers la machine virtuelle.
  • Le trafic bidirectionnel est celui allant de la machine virtuelle au réseau logique et du réseau logique à la machine virtuelle. Il s'agit de l'option par défaut.

Pour plus d'informations sur la mise en miroir de ports avec NSX-T, consultez Ajouter un profil de mise en miroir de ports dans le Guide d'administration de NSX-T Data Center.

Note :

Dans un SDDC membre d'un groupe de SDDC, tout le trafic sortant des hôtes vers des destinations extérieures au réseau SDDC est routé vers la passerelle VTGW ou le VIF privé, quelles que soient les autres configurations de routage du SDDC. Cela inclut IPFIX et le trafic de mise en miroir de ports. Consultez Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect dans le Guide des opérations de VMware Cloud on AWS.

Conditions préalables

Important :

La mise en miroir de ports peut générer une grande partie du trafic réseau. Il est recommandé de limiter son utilisation à un maximum de 6 machines virtuelles à la fois pendant de courtes périodes à des fins de dépannage et de correction.

Vérifiez que des groupes de charge de travail avec adresse IP et critères d'appartenance de machines virtuelles sont disponibles. Reportez-vous à la section Ajouter ou modifier un groupe de calcul.

Procédure

  1. Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
  2. Sélectionnez Mise en réseau et sécurité > Mise en miroir de port.
  3. Sur la page Mise en miroir de ports, cliquez sur AJOUTER UN PROFIL et attribuez un Nom et éventuellement une Description à ce profil.
  4. Spécifiez les paramètres de profil.
    Paramètre Description
    Direction Sélectionnez la direction du trafic dans la liste déroulante.
    Longueur de la capture Spécifiez le nombre d'octets à capturer à partir d'un paquet.
    Source Les sources peuvent inclure des segments, des ports de segment, des groupes de machines virtuelles et des groupes de vNIC.
    Destination Les destinations sont des groupes comportant 3 adresses IP au maximum. Vous pouvez utiliser les groupes d'inventaire existants ou en créer de nouveaux à partir de la page Définir la destination.
    Type d'encapsulation Doit indiquer GRE.
    Clé GRE

    Identifie un flux de données GRE particulier, tel que défini dans RFC 6245. Entrez une valeur 32 bits aléatoire pour identifier les paquets en miroir à partir du port logique.

    Cette valeur clé est copiée dans le champ Clé de l'en-tête GRE de chaque paquet en miroir. Si la valeur Clé est définie sur 0, la définition par défaut est copiée dans le champ Clé de l'en-tête GRE.

    La valeur 32 bits par défaut est composée des valeurs suivantes.

    • Les 24 premiers bits sont une valeur VNI. Le VNI fait partie de l'en-tête IP des trames encapsulées.
    • Le 25e bit indique si les premiers 24 bits sont une valeur VNI valide. Un représente une valeur valide et zéro représente une valeur non valide.
    • Le 26e bit indique la direction du trafic en miroir. Un représente une direction d'entrée et zéro représente une direction de sortie.
    • Les six bits restants ne sont pas utilisés.
  5. (Facultatif) Marquez le profil de mise en miroir de ports.

    Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.

  6. Cliquez sur ENREGISTRER pour enregistrer la session.

Que faire ensuite

Cliquez sur le bouton de sélection en regard d'un profil de mise en miroir de ports et sélectionnez Modifier pour apporter des modifications de configuration.