Vous pouvez utiliser la mise en miroir de ports pour analyser le trafic réseau à des fins de débogage ou de dépannage. La mise en miroir de ports vous permet de copier tous les paquets de réseau ou les paquets spécifiques qui sont vus sur le port de segment (ou un segment entier) vers un autre port de segment.
- SPAN local
- SPAN distant
- SPAN L3 distant
- SPAN logique
Notez que SPAN logique est pris en charge uniquement pour les commutateurs logiques de superposition et pas pour les commutateurs logiques VLAN.
Si une grande partie du trafic est mise en miroir vers une VM de moniteur, il existe un risque que l'anneau de tampon du pilote sature et que des paquets soient abandonnés. Pour régler le problème, vous pouvez prendre une ou plusieurs des mesures suivantes :
- Augmentez la taille de l'anneau de tampon rx.
- Attribuez plus de ressources de CPU à la VM.
- Utilisez le DPDK (Data Plane Development Kit) pour améliorer les performances du traitement des paquets.
Avant la version 4.2 de NSX, seul SPAN L3 distant était pris en charge pour le chemin d'accès rapide ENS. Si des sessions SPAN local ou SPAN distant (RSPAN) étaient créées, les paquets de production passaient par pktHandle slowpath. À partir de la version 4.2 de NSX, SPAN local et RSPAN sont pris en charge pour le chemin d'accès rapide ENS.
Cette fonctionnalité présente les restrictions suivantes :
- Un port de miroir source ne peut pas se trouver dans plusieurs sessions de miroir.
- Pour une session SPAN locale, les ports source et de destination de la session de mise en miroir doivent se trouver sur le même vSwitch d'hôte. Par conséquent, si vous migrez par vMotion la VM avec le port source ou de destination vers un autre hôte, le trafic sur ce port ne peut plus être mis en miroir.
- Pour les sessions de destination SPAN local et RSPAN, le trafic normal sur les ports de destination de mise en miroir n'est pas autorisé.
- Sur ESXi, lorsque la mise en miroir est activée sur la liaison montante, des paquets TCP de production brute sont encapsulés à l'aide du protocole Geneve par VDL2 dans des paquets UDP. Une carte réseau physique prenant en charge TSO (TCP Segmentation Offload) peut modifier les paquets et les marquer avec l'indicateur MUST_TSO. Sur une VM de moniteur avec des vNIC VMXNET3 ou E1000, le pilote traite les paquets comme des paquets UDP normaux. Il ne peut pas traiter l'indicateur MUST_TSO et il abandonne les paquets.
- IPFIX n'échantillonne pas les paquets en miroir et Traceflow et l'Analyse du trafic en direct ne tracent pas les paquets en miroir.
- Si vous prévoyez de créer une session RSPAN, il est recommandé de réserver quelques VLAN sur votre réseau en vue de les utiliser comme VLAN RSPAN. N'attribuez pas de ports de segment à ces VLAN. Les VLAN RSPAN doivent être des VLAN dédiés et ne doivent pas être utilisés comme VLAN de commutation ou VLAN de transport. Si vous avez inclus un VLAN RSPAN en tant que VLAN de transport, de commutation ou de jonction, pendant la mise à niveau vers la version 4.2 de NSX, vous obtiendrez une erreur lors de la mise à jour de ces VLAN RSPAN dans les sessions source et de destination RSPAN.
- Vous pouvez créer jusqu'à 16 VLAN RSPAN pour les sessions de destination RSPAN.
- Vous ne pouvez pas inclure un VLAN en tant que source de mise en miroir dans plusieurs sessions de destination RSPAN.
- La destination RSPAN ne surveille pas le trafic d'entrée des vNIC.
- Vous devez implémenter le filtrage miroir sur la source RSPAN et non sur la destination RSPAN, car cette dernière est utilisée pour recevoir des paquets en miroir. Si vous avez configuré le filtrage miroir pour la destination RSPAN avant d'effectuer la mise à niveau vers la version 4.2 de NSX, vous devez supprimer la configuration du filtrage miroir.
Conditions préalables
Vérifiez que le mode Gestionnaire est sélectionné dans l'interface utilisateur NSX Manager. Reportez-vous à la section NSX Manager. Si vous ne voyez pas les boutons Stratégie et Gestionnaire, reportez-vous à Configurer les paramètres de l'interface utilisateur.