Il mirroring della porta consente di replicare e reindirizzare tutto il traffico proveniente da un'origine. Il traffico con mirroring viene inviato incapsulato all'interno di un tunnel GRE (Generic Routing Encapsulation) a un agente di raccolta in modo che tutte le informazioni del pacchetto originale vengano mantenute mentre attraversano la rete verso una destinazione remota.

Il mirroring delle porte viene utilizzato nei seguenti scenari:
  • Risoluzione dei problemi: analizzare il traffico per rilevare intrusioni e debug e diagnosticare errori in una rete.
  • Conformità e monitoraggio: inoltro di tutto il traffico monitorato a un'appliance di rete per analisi e correzione.

Il mirroring della porta include un gruppo di origine in cui i dati vengono monitorati e un gruppo di destinazione in cui vengono copiati i dati raccolti. I criteri di appartenenza al gruppo di origine richiedono che le macchine virtuali vengano raggruppate in base al carico di lavoro, ad esempio al gruppo Web o al gruppo di applicazioni. I criteri di appartenenza al gruppo di destinazione richiedono che le macchine virtuali vengano raggruppate in base agli indirizzi IP.

Il mirroring delle porte ha un punto di applicazione in cui è possibile applicare le regole dei criteri all'ambiente dell'SDDC.

La direzione del traffico per il mirroring della porta è In ingresso, In uscita o Traffico bidirezionale.

  • Il traffico di rete in ingresso è quello in uscita dalla macchina virtuale alla rete logica.
  • Il traffico di rete in uscita è quello in entrata dalla rete logica alla macchina virtuale.
  • Il traffico bidirezionale è il traffico dalla macchina virtuale alla rete logica e dalla rete logica alla macchina virtuale. Questa è l'opzione predefinita.

Vedere Aggiunta di un profilo di mirroring della porta nella Guida all'amministrazione di NSX-T Data Center per ulteriori informazioni sul mirroring della porta con NSX-T.

Nota:

In un SDDC che è membro di un gruppo di SDDC, tutto il traffico in uscita dagli host alle destinazioni esterne alla rete SDDC viene instradato verso un VTGW o VIF privato indipendentemente dalle altre configurazioni di routing nell'SDDC. Sono inclusi il traffico IPFIX e il mirroring della porta. Vedere Creazione e gestione di gruppi di distribuzione dell'SDDC con VMware Transit Connect in Guida al funzionamento di VMware Cloud on AWS.

Prerequisiti

Importante:

Il mirroring della porta può generare molto traffico di rete. È consigliabile limitarne l'uso a un massimo di 6 macchine virtuali alla volta per brevi periodi di risoluzione dei problemi e correzione.

Verificare che siano disponibili gruppi di carichi di lavoro con indirizzo IP e criteri di iscrizione alla macchina virtuale. Vedere Aggiunta o modifica di un gruppo di elaborazione.

Procedura

  1. Effettuare l'accesso alla Console VMC su https://vmc.vmware.com.
  2. Selezionare Rete e sicurezza > Mirroring porta.
  3. Nella pagina Mirroring porta fare clic su AGGIUNGI PROFILO e assegnare al profilo un Nome e una Descrizione facoltativa.
  4. Specificare i parametri del profilo.
    Parametro Descrizione
    Direzione Selezionare una direzione del traffico nell'elenco a discesa.
    Lunghezza snap Specificare il numero di byte da acquisire da un pacchetto.
    Origine Le origini possono includere segmenti, porte di segmenti, gruppi di macchine virtuali e gruppi di vNIC.
    Destinazione Le destinazioni sono gruppi che contengono fino a tre indirizzi IP. È possibile utilizzare i gruppi di inventario esistenti o crearne di nuovi dalla pagina Imposta destinazione.
    Tipo di incapsulamento Deve essere GRE.
    Chiave GRE

    Identifica un particolare flusso di dati GRE, come definito in RFC 6245. Immettere un valore casuale a 32 bit per identificare i pacchetti con mirroring dalla porta logica.

    Questo valore di chiave viene copiato nel campo della chiave nell'intestazione GRE di ciascun pacchetto con mirroring. Se il valore della chiave è impostato su 0, la definizione predefinita viene copiata nel campo della chiave nell'intestazione GRE.

    Il valore predefinito a 32 bit è composto dai valori seguenti.

    • Il primi 24 bit sono un valore VNI. VNI fa parte dell'intestazione IP dei frame incapsulati.
    • Il 25º bit indica se i primi 24 bit costituiscono un valore VNI valido. Uno rappresenta un valore valido e zero rappresenta un valore non valido.
    • Il 26º bit indica la direzione del traffico con mirroring. Uno rappresenta una direzione in ingresso e zero rappresenta una direzione di uscita.
    • I restanti sei bit non vengono utilizzati.
  5. (Facoltativo) Contrassegnare il profilo di mirroring della porta.

    Consultare Aggiungere tag a un oggetto nella Guida all'amministrazione di NSX-T Data Center per ulteriori informazioni sull'assegnazione di tag agli oggetti NSX-T.

  6. Fare clic su SALVA per salvare la sessione.

Operazioni successive

Fare clic sul pulsante con i puntini di sospensione accanto a una profilo di mirroring della porta e selezionare Modifica per apportare modifiche alla configurazione.