Предыдущая публикация
Зеркалирование портов
Иногда вы сталкиваетесь с необходимостью клонировать трафик с одного порта на другой
порт. Это выходит за рамки простого мониторинга порта - зеркало порта фактически клонирует весь трафик
в настроенный пункт назначения. Для этого есть два основных варианта использования: мониторинг и захват.
Два варианта использования тесно связаны друг с другом, но, как правило, имеют разные конечные цели
в уме. Для мониторинга у вас может возникнуть необходимость, будь то соответствие или какой-то сервис
Соглашение об уровне (SLA), чтобы точно знать, какой трафик отправляется с одного конкретного устройства
другому. Другая необходимость, захват, обычно встречается при выполнении телефонной работы для
соответствие записи разговоров. Например: захват трафика с передачей голоса по IP (VoIP), чтобы вы
можно записать телефонный звонок в вашем колл-центре.
Это относительно просто сделать в физическом мире и называется многими именами: SPAN
(Switched Port ANalyzer) порты, зеркалирование портов и мониторинг портов, чтобы назвать несколько.
конкретный исходный порт или VLAN выбран для конфигурации, и любой трафик, который течет
через этот порт клонируется в порт назначения. Процесс клонирования обычно «тупой»
фактический трафик, и просто делает точную копию трафика для порта назначения. Эта
работал хорошо, когда каждый порт на коммутаторе переносил трафик для одного подключенного сервера или
рабочая станция.
Добавление виртуальных сред создало головную боль для зеркалирования портов. Один
порт коммутатора, подключенный к хосту vSphere, теперь может переносить трафик на десятки или даже сотни
виртуальных серверов. Стало трудно зеркалировать трафик для одного виртуального сервера за пределами
некоторые очень неуклюжие сетевые топологии, такие как подключение виртуальной машины к специально выделенному узлу восходящей линии Это было расточительно, а также ограничивало мобильность виртуальных машин. Другие технологии, такие как включение стороннего коммутатора Nexus 1000V, могут помочь с этой проблемой, но
традиционно полагались на специальные сетевые навыки и более высокую покупную цену.
Начиная с vSphere 5.0, распределенный коммутатор начал предоставлять возможность зеркалирования
трафик для виртуальных портов. Это позволило бы администратору детально управлять зеркалированием портов для определенного распределенного порта или портов. Первоначальное предложение с VDS 5.0 было
простая конфигурация, где вы можете зеркалировать распределенные порты на другие распределенные порты
или восходящий канал. Это известно как «Распределенное зеркалирование портов (Legacy)» в VDS 5.1 и
за пределы, и не рекомендуется. Имейте в виду, что обновление среды vSphere не
автоматически обновить существующий VDS - вам также нужно будет выполнить обновление VDS в
Для того, чтобы насладиться функциями, найденными в более поздних версиях VDS.
Начиная с VDS 5.1, доступны четыре различных типа сеансов зеркалирования портов:
1. Распределенное зеркальное отображение портов: зеркальное отражение пакетов от любого количества распределенных портов
любое количество других распределенных портов на том же хосте. Если источник и пункт назначения находятся на разных хостах, этот тип сеанса не работает.
2. Источник удаленного зеркалирования: зеркальные пакеты от нескольких распределенных портов на определенные порты восходящей линии на соответствующем хосте.
3. Назначение удаленного зеркалирования: зеркальное отражение пакетов от нескольких VLAN на распределенные порты.
4. Инкапсулированное удаленное зеркалирование (L3) Источник: зеркальные пакеты из ряда
распределенные порты на IP-адреса удаленного агента. Трафик виртуальных машин отражается на
удаленный физический пункт назначения через IP-туннель. Это похоже на ERSPAN
Инкапсулированный анализатор портов с дистанционным переключением.
В то время как источник и назначение каждого выбора зеркалирования портов различаются, свойства
все относительно похоже. Для настройки любого сеанса зеркалирования портов вам необходимо определить
ряд стандартных свойств для конфигурации. Набор свойств, которые вам нужны
конфигурация будет меняться в зависимости от типа выбранного зеркала порта:
■ Имя: имя, описывающее сеанс зеркалирования портов. Постарайтесь сделать это как можно более описательным, но не многословным. Примеры включают «Зеркальное отображение ServerX на
DestinationY »или« ServerX на удаленный IP ».
■ Состояние: по умолчанию зеркало порта будет отключено. Вы можете оставить его отключенным, пока
Вы создаете зеркало, а затем включаете его позже или включаете его во время настройки.
■ Session Type: выбирает тип сеанса зеркалирования портов. Выберите один из четырех
описано в предыдущем списке.
■ Идентификатор VLAN инкапсуляции: указанная здесь VLAN будет использоваться для инкапсуляции
кадры, которые отражаются. Это позволит вам отправлять кадры по восходящей линии связи.
который может использовать другой идентификатор VLAN. Если вы хотите, чтобы зеркало порта запомнилось
исходный идентификатор VLAN, который использовал трафик, обязательно отметьте «Сохранить
Оригинальная VLAN ». В противном случае инкапсуляция VLAN займет свое место.
Есть также несколько продвинутых свойств, которые можно настроить. Не все они будут
доступно для каждого типа зеркала порта, но мы рассмотрим все из них в этом разделе:
■ Нормальный ввод / вывод на портах назначения: описание на нем немного расплывчато. Это спрашивает
вам решать, хотите ли вы, чтобы порт назначения действовал просто как порт зеркального порта, или
если он должен принимать входящий трафик. По умолчанию для него установлено значение «Запрещено», что не позволяет порту назначения принимать трафик в порт и эффективно выделяет порт для зеркала порта. Для большинства приложений мониторинга, которые просто желают
для опроса трафика, оставляя значение «Запрещено» желательно. Имейте в виду, что
это также предотвращает передачу трафика через порт.
■ Длина зеркального пакета (в байтах): это ограничение размера, накладываемое на зеркальный трафик. Если вы укажете размер, пакеты, размер которых превышает размер, будут усечены до размера.
Вы указали. Это может быть удобно, если вы отслеживаете трафик, который включает в себя Jumbo
Кадры, такие как трафик хранилища, но только для захвата кадров нормального размера
заголовки, а не полная полезная нагрузка. Обычно вы хотите оставить это поле пустым
и укажите любые ограничения длины пакета в программном обеспечении захвата.
■ Частота выборки. Как и в случае конфигурации частоты выборки NetFlow, частота выборки зеркала порта определяет количество пакетов для выборки. Значение 1, которое
по умолчанию, означает захватить каждый пакет. Любое другое значение N означает захват
N-й пакет. Например, частота дискретизации 7 будет захватывать каждый седьмой пакет и
пропустить остальные шесть.
■ Описание: описание сеанса зеркалирования портов. Понятия не имею, почему это указано
в разделе Дополнительные свойства, так как это способ помочь передать цель вашего
сеанс, но у вас есть это
Источниками для сеанса зеркального отображения порта могут быть один или несколько распределенных портов или даже диапазон
портов. Порты могут использоваться виртуальными машинами или портами VMkernel. Каждый идентификатор порта показывает хост, который
обслуживает идентификатор виртуального порта, соединение виртуального порта и направление
трафик, который вы хотите захватить. Имейте в виду, что направление основано на перспективе:
вход входит в порт, в то время как выход выходит из порта. Когда два человека поддерживают разговор, говорящий имеет информацию, выходящую из его рта, в то время как слушающий имеет информацию, входящую в его ухо.
Единственное исключение - это тип пункта назначения удаленного зеркалирования, который использует один или
больше идентификаторов VLAN в качестве источника.
Выбор места назначения для вашего зеркала порта имеет наибольшее разнообразие. Вот список параметров назначения для каждого типа зеркала порта:
Распределенное зеркалирование портов: виртуальные порты
■ Источник удаленного зеркалирования: ссылки
■ Назначение удаленного зеркалирования: виртуальные порты
■ Инкапсулированное удаленное зеркалирование (L3) Источник: удаленный IP
Конечным результатом является запись в разделе зеркалирования портов VDS, которая показывает список всех
сессий. Каждый сеанс показывает имя, тип и статус на верхней панели, а также
свойства, источники и места назначения в нижней панели.
Частные VLAN
Иногда использования VLAN недостаточно для удовлетворения требований проекта. Может ты
хотите предотвратить ненужное использование ваших 4094 идентификаторов VLAN или
требования арендатора, которые требуют создания изолированных сред. Это где
Концепция Private VLAN вступает в игру. Архитектурные различия вроде как
сравнивая дом на одну семью с многоэтажным жилым домом
В сценарии дома на одну семью все живут в одном доме вместе, но они
занимают разные комнаты. Если у вас есть доступ к дому, мы можем верить, что вы принадлежите
дом, и мы не мешаем вам забраться в чужую комнату -
хотя обычно это не вежливо. Это очень похоже на обычную VLAN. Если
вы хотите перенести из дома одного человека в другого или из одной VLAN в другую
VLAN, вы должны использовать устройство маршрутизации - вы не можете просто ходить между домами.
Первичная VLAN
В многоквартирном доме каждая квартира сама по себе является изолированной средой внутри более крупного здания. У каждого есть доступ к входной двери здания кондо, но не к кондо друг друга.
Это своего рода частная сеть VLAN. Мы используем термин «Первичная VLAN» для
Обозначим общую VLAN, которая используется для ввода частного набора VLAN.
Разнородный VLAN
Первичная VLAN подключается к остальной части сетевой инфраструктуры одним
или более случайные порты, также известные как P-порты. Думайте о P-Port как о дверном проеме
в здание кондо - каждый имеет к нему доступ, и это то, как вы входите и выходите из
частный набор VLAN. Каждой частной VLAN нужна первичная VLAN с P-портом, иначе не было бы никакого способа получать трафик в сегменте сети и из него.
Вторичные VLAN
Каждая квартира в здании будет представлять «Вторичную VLAN» или суб-VLAN, которая может
повторно использовать идентификаторы VLAN, которые существуют за пределами частной VLAN. То есть, если у вас есть сеть
VLAN ID 100 где-то в вашей сети, вы также можете иметь вторичную VLAN, которая
использует VLAN ID 100 в рамках основной VLAN. Тем не менее, основной VLAN
должно быть уникальным в обеих сетях, иначе сеть может запутаться
VLAN вы намерены пройти трафик.
Вторичные идентификаторы VLAN существуют только в среде Private VLAN, а теги
заменяется идентификатором первичной VLAN, когда трафик покидает частную VLAN. Есть
три типа вторичных VLAN, определенных в распределенном коммутаторе VMware: разнородная VLAN, которую мы уже рассмотрели, а также сообщество и изолированные VLAN.
На рисунке 9.10 показан процесс создания частной VLAN на VDS.
--------------------------
СЕРВЕР аналог: https://t.co/GGM89mzvZu
Следующая публикация
Нет комментариев