Vous pouvez utiliser la mise en miroir de ports pour analyser le trafic réseau à des fins de débogage ou de dépannage. La mise en miroir de ports vous permet de copier tous les paquets de réseau ou les paquets spécifiques qui sont vus sur le port de segment (ou un segment entier) vers un autre port de segment.

Vous pouvez créer les types de session de mise en miroir de port suivants :
  • SPAN local
  • SPAN distant
  • SPAN L3 distant
  • SPAN logique

Notez que SPAN logique est pris en charge uniquement pour les commutateurs logiques de superposition et pas pour les commutateurs logiques VLAN.

Si une grande partie du trafic est mise en miroir vers une VM de moniteur, il existe un risque que l'anneau de tampon du pilote sature et que des paquets soient abandonnés. Pour régler le problème, vous pouvez prendre une ou plusieurs des mesures suivantes :

  • Augmentez la taille de l'anneau de tampon rx.
  • Attribuez plus de ressources de CPU à la VM.
  • Utilisez le DPDK (Data Plane Development Kit) pour améliorer les performances du traitement des paquets.
Note : Assurez-vous que le paramètre MTU de la VM de moniteur est suffisamment grand pour gérer les paquets. Cela est particulièrement important pour les paquets encapsulés, car l'encapsulation augmente la taille des paquets. Sinon, les paquets peuvent être abandonnés. Il ne s'agit pas d'un problème de VM ESXi avec des cartes réseau VMXNET3, mais d'un risque potentiel lié à d'autres types de cartes réseau.

Avant la version 4.2 de NSX, seul SPAN L3 distant était pris en charge pour le chemin d'accès rapide ENS. Si des sessions SPAN local ou SPAN distant (RSPAN) étaient créées, les paquets de production passaient par pktHandle slowpath. À partir de la version 4.2 de NSX, SPAN local et RSPAN sont pris en charge pour le chemin d'accès rapide ENS.

Cette fonctionnalité présente les restrictions suivantes :

  • Un port de miroir source ne peut pas se trouver dans plusieurs sessions de miroir.
  • Pour une session SPAN locale, les ports source et de destination de la session de mise en miroir doivent se trouver sur le même vSwitch d'hôte. Par conséquent, si vous migrez par vMotion la VM avec le port source ou de destination vers un autre hôte, le trafic sur ce port ne peut plus être mis en miroir.
  • Pour les sessions de destination SPAN local et RSPAN, le trafic normal sur les ports de destination de mise en miroir n'est pas autorisé.
  • Sur ESXi, lorsque la mise en miroir est activée sur la liaison montante, des paquets TCP de production brute sont encapsulés à l'aide du protocole Geneve par VDL2 dans des paquets UDP. Une carte réseau physique prenant en charge TSO (TCP Segmentation Offload) peut modifier les paquets et les marquer avec l'indicateur MUST_TSO. Sur une VM de moniteur avec des vNIC VMXNET3 ou E1000, le pilote traite les paquets comme des paquets UDP normaux. Il ne peut pas traiter l'indicateur MUST_TSO et il abandonne les paquets.
  • IPFIX n'échantillonne pas les paquets en miroir et Traceflow et l'Analyse du trafic en direct ne tracent pas les paquets en miroir.
  • Si vous prévoyez de créer une session RSPAN, il est recommandé de réserver quelques VLAN sur votre réseau en vue de les utiliser comme VLAN RSPAN. N'attribuez pas de ports de segment à ces VLAN. Les VLAN RSPAN doivent être des VLAN dédiés et ne doivent pas être utilisés comme VLAN de commutation ou VLAN de transport. Si vous avez inclus un VLAN RSPAN en tant que VLAN de transport, de commutation ou de jonction, pendant la mise à niveau vers la version 4.2 de NSX, vous obtiendrez une erreur lors de la mise à jour de ces VLAN RSPAN dans les sessions source et de destination RSPAN.
  • Vous pouvez créer jusqu'à 16 VLAN RSPAN pour les sessions de destination RSPAN.
  • Vous ne pouvez pas inclure un VLAN en tant que source de mise en miroir dans plusieurs sessions de destination RSPAN.
  • La destination RSPAN ne surveille pas le trafic d'entrée des vNIC.
  • Vous devez implémenter le filtrage miroir sur la source RSPAN et non sur la destination RSPAN, car cette dernière est utilisée pour recevoir des paquets en miroir. Si vous avez configuré le filtrage miroir pour la destination RSPAN avant d'effectuer la mise à niveau vers la version 4.2 de NSX, vous devez supprimer la configuration du filtrage miroir.

Conditions préalables

Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Planifier et dépanner > Mise en miroir de ports > Session de mise en miroir de ports.
  3. Cliquez sur Ajouter et sélectionnez un type de session.
    Les types disponibles sont SPAN local, SPAN distant, SPLAN L3 distant et SPAN logique.
  4. Entrez un nom de session et éventuellement une description.
  5. Fournissez les paramètres supplémentaires.
    Type de session Paramètres
    SPAN local
    • Nœud de transport - sélectionnez un nœud de transport.
    • Direction - sélectionnez Bidirectionnel, Entrée ou Sortie.
    • Troncation des paquets - sélectionnez une valeur de troncation des paquets.
    SPAN distant
    • Type de session - sélectionnez Session source RSPAN ou Session de destination RSPAN.
    • Nœud de transport - sélectionnez un nœud de transport.
    • Direction - sélectionnez Bidirectionnel, Entrée ou Sortie.
    • Troncation des paquets - sélectionnez une valeur de troncation des paquets.
    • ID de VLAN d'encapsulation - spécifiez un ID de VLAN d'encapsulation.
    • Conserver le VLAN d'origine - indiquez si vous voulez conserver l'ID de VLAN d'origine.
    SPAN L3 distant
    • Encapsulation - sélectionnez GRE, ERSPAN TWO ou ERSPAN THREE.
    • Clé GRE - spécifiez une clé GRE si l'encapsulation est GRE. ID ERSPAN - spécifiez un ID ERSPAN si l'encapsulation est ERSPAN TWO ou ERSPAN THREE.
    • Direction - sélectionnez Bidirectionnel, Entrée ou Sortie.
    • Troncation des paquets - sélectionnez une valeur de troncation des paquets.
    SPAN logique
    • Commutateur logique - sélectionnez un commutateur logique.
    • Direction - sélectionnez Bidirectionnel, Entrée ou Sortie.
    • Troncation des paquets - sélectionnez une valeur de troncation des paquets.
  6. Cliquez sur Suivant.
  7. Fournissez des informations sur la source.
    Type de session Paramètres
    SPAN local
    • Sélectionnez un VDS.
    • Sélectionnez des interfaces physiques.
    • Activez ou désactivez le paquet encapsulé.
    • Sélectionnez les machines virtuelles.
    • Sélectionnez les interfaces virtuelles.
    SPAN distant
    • Sélectionnez les machines virtuelles.
    • Sélectionnez les interfaces virtuelles.
    SPAN L3 distant
    • Sélectionnez les machines virtuelles.
    • Sélectionnez les interfaces virtuelles.
    • Sélectionnez un commutateur logique.
    SPAN logique
    • Sélectionnez les ports logiques.
  8. Cliquez sur Suivant.
  9. Fournissez les informations sur la destination.
    Type de session Paramètres
    SPAN local
    • Sélectionnez les machines virtuelles.
    • Sélectionnez les interfaces virtuelles.
    SPAN distant
    • Sélectionnez un VDS.
    • Sélectionnez des interfaces physiques.
    SPAN L3 distant
    • Spécifiez une adresse IPv4.
    SPAN logique
    • Sélectionnez les ports logiques.
  10. Cliquez sur Enregistrer.
    Vous ne pouvez pas modifier la source ou la destination après l'enregistrement de la session de mise en miroir de ports.