配置在UCS前端服务器的虚拟机作为SPAN目的地

配置在 UCS 前端服务器的虚拟机作为 SPAN 目的地 Contents Introduction Prerequisites Requirements Components Used 背景信息 Configure Network Diagram 嗅探器 VM 用 IP 地址没有 IP 地址的嗅探器 VM 故障情景 Verify Troubleshoot Related Information Introduction 本文描述步骤捕获完全地是思科统一计算系统的通信流 (UCS) 的外部和处理它到运行一个嗅探器工具在 UCS 里面的虚拟机 是的数据流的来源和目的地获取的是 UCS 的外部 捕获在直接地附有 UCS 的一台物理交换机可以被起动或它可能是一些次跳跃 Prerequisites Requirements Cisco 建议您了解以下主题 : UCS VMware ESX 版本 4.1 或以上 被封装的远程交换机端口分析程序 (ERSPAN) Components Used 本文档中的信息基于以下软件和硬件版本 : 运行 12.2(18)ZYA3c 的 Cisco Catalyst 6503 运行 2.2(3e) 的 Cisco UCS B 系列 VMWare ESXi 5.5 修造 1331820 The information in this document was created from the devices in a specific lab environment.all of the devices used in this document started with a cleared (default) configuration.if your network is

live, make sure that you understand the potential impact of any command. 背景信息 UCS 没有远程 SPAN (RSPAN) 功能收到 SPAN 数据流从一台连接的交换机和处理它对一个本地端口 因此完成此的唯一方法在 UCS 环境里是通过使用在一台物理交换机和发送捕获的流量的被封装的 RSPAN (ERSPAN) 功能到 VM 使用 IP 在某些实施, 运行嗅探器工具的 VM 不能有 IP 地址 当嗅探器 VM 有一个 IP 地址以及方案, 不用 IP 地址时, 本文解释需要的配置 这里唯一的限制是嗅探器 VM 需要能读从被发送到它的数据流的 GRE/ERSPAN 封装 Configure Network Diagram 此拓扑在本文考虑 : PC 附有 Catalyst 6500 的 GigabitEthernet1/1 被监控 在 GigabitEthernet1/1 的数据流是获取和发送到运行在服务器 1. ERSPAN 功能的 Cisco UCS 里面在 6500 交换机捕获数据流, 封装它使用 GRE 的嗅探器 VM 并且发送它到嗅探器 VM 的 IP 地址 嗅探器 VM 用 IP 地址

Note: 在此部分描述的步骤可以也用于嗅探器在 UCS 前端的一个仅有金属服务器运行的方案而不是运行在 VM 这些步骤, 当嗅探器 VM 能有 IP 地址时, 需要 : 用从 6500 是可及的 IP 地址配置嗅探器 VM 在 UCS 环境里面 运行嗅探器工具在 VM 里面 配置在 6500 的一次 ERSPAN 来源会话并且发送捕获的流量直接地到 VM 的 IP 地址 在 6500 交换机的配置步骤 : CAT6K-01(config)#monitor session 1 type erspan-source CAT6K-01(config-mon-erspan-src)#source interface gi1/1 CAT6K-01(config-mon-erspan-src)#destination CAT6K-01(config-mon-erspan-src-dst)#ip address 192.0.2.2 CAT6K-01(config-mon-erspan-src-dst)#origin ip address 192.0.2.1 CAT6K-01(config-mon-erspan-src-dst)#erspan-id 1 CAT6K-01(config-mon-erspan-src-dst)#exit CAT6K-01(config-mon-erspan-src)#no shut CAT6K-01(config-mon-erspan-src)#end 在本例中, 嗅探器 VM 的 IP 地址是 192.0.2.2 没有 IP 地址的嗅探器 VM 这些步骤, 当嗅探器 VM 不能有 IP 地址时, 需要 : 配置嗅探器 VM 在 UCS 环境里面 运行嗅探器工具在 VM 里面 创建能有在同一台主机的一个 IP 地址和用 IP 地址配置它从 6500 是可及的秒钟 VM 配置在 VMWare vswitch 的端口组在混杂模式下 配置在 6500 的一次 ERSPAN 来源会话并且发送捕获的流量到第二个 VM 的 IP 地址这些步骤显示在 VMWare 需要的配置 ESX : 如果已经安排一个端口组配置, 请直接地进入步骤 2 1. 创建一个虚拟机端口组并且分配两台虚拟机到它 连接对 Networking 选项并且点击添加网络在 vsphere 标准交换机下 创建一个端口组类型虚拟机

分配一个物理接口 (vmnic) 如此镜像所显示, 到端口组

如镜像所显示, 配置一个名字对于端口组和添加相关 VLAN

如镜像所显示, 验证配置并且点击完成

2. 如镜像所显示, 配置端口组在混杂模式下 端口组必须当前出现在 Networking 选项下 点击属性 选择端口组并且点击编辑 如此镜像所显示, 去安全选项并且更改混杂模式设置接受

3. 分配两台虚拟机到从虚拟机设置部分的端口组

4. 两台虚拟机必须当前出现于端口组在 Networking 选项下 在本例中, 与没有 IP 地址, 有一个 IP 地址, 并且嗅探器 VM 是 VM 用嗅探器工具的 IP 的 VM 是第二个 VM 5. 这显示在 6500 交换机的配置步骤 : CAT6K-01(config)#monitor session 1 type erspan-source

CAT6K-01(config-mon-erspan-src)#source interface gi1/1 CAT6K-01(config-mon-erspan-src)#destination CAT6K-01(config-mon-erspan-src-dst)#ip address 192.0.2.3 CAT6K-01(config-mon-erspan-src-dst)#origin ip address 192.0.2.1 CAT6K-01(config-mon-erspan-src-dst)#erspan-id 1 CAT6K-01(config-mon-erspan-src-dst)#exit CAT6K-01(config-mon-erspan-src)#no shut CAT6K-01(config-mon-erspan-src)#end 在本例中, 第二个 VM ( 与 IP 的 VM 的 ) IP 地址是 192.0.2.3 使用此配置, 6500 封装获取信息包并且发送它到 VM 用 IP 地址 在 VMWare vswitch enable (event) 的混杂模式看到这些信息包的嗅探器 VM 故障情景 当曾经在一台物理交换机的本地 SPAN 功能而不是 ERSPAN 功能时, 此部分描述一个常见故障方案 此拓扑考虑得这里 :

使用本地 SPAN 功能, 从 PC A 的数据流对 PC B 被监控 SPAN 数据流的目的地处理对端口被连接到 UCS 结构互连 (FI) 虚拟机用嗅探器工具运行在 server1 的 UCS 里面 这是在 6500 交换机的配置 : CAT6K-01(config)#monitor session 1 source interface gigabitethernet 1/1, gigabitethernet 1/2 CAT6K-01(config)#monitor session 1 destination interface gigabitethernet 1/3 在端口 Gig1/1 和 Gig1/2 的所有数据流将被复制对端口 Gig1/3 这些信息包源及目的地 MAC 地址将是未知对 UCS FI 在 UCS 以太网终端主机模式下, FI 丢弃这些未知单播信息包

在 UCS 以太网交换模式, FI 了解在端口的源 MAC 地址被连接到 6500 (Eth1/1) 然后充斥信息包下行到服务器 此事件顺序发生 : 1. 对于方便了解, 请考虑仅去在接口 Gig1/1 和 Gig1/2 的 PC A ( 与 MAC 地址 aaaa.aaaa.aaaa) 和 PC B 之间的数据流 ( 与 MAC 地址 bbbb.bbbb.bbbb) 2. 第一个信息包是从 PC A 到 PC B, 并且这在 UCS FI Eth1/1 被看到 3. FI 了解在 Eth1/1 的 MAC 地址 aaaa.aaaa.aaaa 4. FI 不认识目的地 MAC 地址 bbbb.bbbb.bbbb 并且充斥信息包对在同样 VLAN 的所有端口 5. 嗅探器 VM, 在同样 VLAN, 也看到此信息包 6. 下一个信息包是从 PC B 到 PC A 7. 当这击中 Eth1/1 时, MAC 地址 bbbb.bbbb.bbbb 在 Eth1/1 了解 8. 信息包的目的地是为 MAC 地址 aaaa.aaaa.aaaa 9. FI 丢弃此信息包, 当 MAC 地址 aaaa.aaaa.aaaa 在 Eth1/1 了解, 并且信息包在 Eth1/1 收到了 10. 后续信息包, 注定为 MAC 地址 aaaa.aaaa.aaaa 或 MAC 地址 bbbb.bbbb.bbbb 由于同样的原因被丢弃 Verify 当前没有可用于此配置的验证过程 Troubleshoot 目前没有针对此配置的故障排除信息 Related Information 配置在虚拟交换机或 portgroup 的混杂模式 SPAN RSPAN 和 ERSPAN 在 Catalyst 6500 皮膜剥脱术 ERSPAN 数据流用开放源工具 Technical Support & Documentation - Cisco Systems