連接埠鏡像可讓您複寫和重新導向來自來源的所有流量。鏡像流量會在 Generic Routing Encapsulation (GRE) 通道中以封裝方式傳送給收集器,以便在周遊網路至遠端目的地的同時,保留所有原始封包資訊。

在下列情況下,會使用連接埠鏡像:
  • 疑難排解 - 分析流量以偵測入侵,以及偵錯和診斷網路上的錯誤。
  • 符合性和監控 - 將所有受監控流量轉送至網路應用裝置以進行分析和修復。

連接埠鏡像包含資料受監控的來源群組以及將已收集資料複製到的目的地群組。來源群組成員資格準則需要根據工作負載分組虛擬機器,例如 Web 群組或應用程式群組。目的地群組成員資格準則需要根據 IP 位址分組虛擬機器。

連接埠鏡像具有一個強制執行點,您可以在此將原則規則套用到 SDDC 環境。

連接埠鏡像的流量方向為入口、出口或雙向流量。

  • 入口是從虛擬機器至邏輯網路的輸出網路流量。
  • 出口是從邏輯網路至虛擬機器的輸入網路流量。
  • 雙向是從虛擬機器至邏輯網路以及從邏輯網路至虛擬機器的雙向流量。這是預設的選項。

如需有關 NSX-T 的連接埠鏡像的詳細資訊,請參閱《NSX-T Data Center 管理指南》中的〈新增連接埠鏡像設定檔〉

必要條件

重要:

連接埠鏡像會產生大量網路流量。最佳做法是在進行疑難排解和修復的較短期間內,限制一次最多 6 個虛擬機器使用連接埠鏡像。

確認具有 IP 位址和虛擬機器成員資格準則的工作負載群組可供使用。請參閱新增或修改計算群組

程序

  1. 登入 VMC 主控台,網址為 https://vmc.vmware.com
  2. 選取網路與安全性 > 連接埠鏡像
  3. 連接埠鏡像頁面上,按一下新增設定檔,並為該設定檔指定名稱和選擇性說明
  4. 指定設定檔參數。
    參數 說明
    方向 從下拉式清單中,選取流量方向。
    貼齊長度 指定要從封包擷取的位元組數。
    來源 來源可包括區段、區段連接埠、虛擬機器群組和 vNIC 群組。
    目的地 目的地是最多包含三個 IP 位址的群組。您可以使用現有的詳細目錄群組,也可以從設定目的地頁面建立新的詳細目錄群組。
    封裝類型 必須為 GRE
    GRE 金鑰

    識別特定的 GRE 資料流,如 RFC 6245 所中定義。輸入隨機 32 位元值,以識別來自邏輯連接埠的鏡像封包。

    此金鑰值會複製到每個鏡像封包之 GRE 標頭中的 [金鑰] 欄位。如果金鑰值設定為 0,則預設定義會複製到 GRE 標頭中的 [金鑰] 欄位。

    預設 32 位元值是由下列值所組成。

    • 第一個 24 位元是 VNI 值。VNI 是封裝式框架 IP 標頭的一部分。
    • 第 25 個位元表示第一個 24 位元是否為有效的 VNI 值。1 代表有效值,0 代表無效值。
    • 第 26 個位元表示鏡像流量的方向。1 代表入口方向,0 代表出口方向。
    • 其餘的六個位元並未使用。
  5. (選擇性) 標記連接埠鏡像設定檔。

    如需有關標記 NSX-T 物件的詳細資訊,請參閱《NSX-T Data Center 管理指南》中的〈將標籤新增至物件〉

  6. 按一下儲存來儲存工作階段。

後續步驟

按一下連接埠鏡像設定檔旁邊的省略符號按鈕,然後選取編輯進行組態變更。