Зеркалирование трафика

В данном разделе содержится информация по настройке сервиса Port-Mirroring. Сервис позволяет выполнять зеркалирование трафика данных между портами компонентов системы SpaceVM. Сервис поддерживает создание множества конфигураций зеркалирования.

Настройка сервиса Port-Mirroring происходит в разделе Сети, далее перейти в раздел Контроль трафика, выбрать Политики Виртуальных сетей", далее выбрать пункт Зеркалирование портов".

Для того чтобы добавить конфигурацию зеркалирования, необходимо нажать кнопку Добавить зеркалирование портов. В открывшемся окне необходимо задать следующие параметры:

• название: название конфигурации;
• описание: описание конфигурации (необязательный параметр);
• сервер: выбрать сервер, на котором будет работать конфигурация
• порты источника: выбрать из раскрывающегося списка порты источника трафика (допускается выбрать несколько портов);

• порт назначения: выбрать из раскрывающегося списка порт назначения трафика (допускается выбрать только один порт).

  Примечание

  Конфигурация не будет выполнена, если в качестве "Порта источника" и "Порта назначения" будет выбран один и тот же порт.

  Внимание

  Будьте осторожны при выборе в качестве "Порт назначения" физического интерфейса, т.к. в этом случае существует вероятность образования петли и потери доступа к интерфейсу управления системы SpaceVM. Это зависит от настройки подключения SpaceVM к транспортной сети предприятия.

• направление трафика: выбрать из раскрывающегося списка направление трафика.

  Доступны следующие режимы:

  • ingress: входящий трафик;
  • egress: исходящий трафик;
  • ingress-and-egress: входящий и исходящий трафик.

  Внимание

  "Направление трафика" - это направление трафика в портах источника. "Направление трафика" выбирается относительно коммутатора сервера Space. Другими словами, если выбрали "Направление трафика: ingress", это означает "зеркалирование" трафика, который идет в направлении "входящем" в порт коммутатора сервера Space (но в направлении "исходящем" от Виртуальной Машины).

  После заполнения полей формы необходимо нажать кнопку "ОК".

  В окне списка конфигураций появится созданная конфигурация зеркалирования. Таким образом создаются конфигурации Port-Mirroring. Поле Статус описывает текущее состояние конфигурации.

Для изменения параметров конфигурации необходимо выбрать соответствующую конфигурацию. В открывшемся окне необходимо нажать кнопку Изменение параметров.

Для изменения доступны следующие параметры:

• порты источника;
• порт назначения;
• направление трафика.

Для удаления конфигурации необходимо выбрать соответствующую конфигурацию. В открывшемся окне нажать кнопку Удалить. Подтвердить действие.

Совместимость SpaceVM с технологией "Зеркалирования трафика" Cisco RSPAN

Рассмотрим варианты работы SpaceVM с технологией "Зеркалирования трафика" Cisco RSPAN.

Зеркалированный трафик "приходит" на Space со стороны коммутатора Cisco

Пример: Необходимо проанализировать трафик с помощью специализированного ПО (анализатора трафика). Для этого необходимо зеркалировать трафик источника и передать на Виртуальную машину(ВМ) размещенную на SpaceVM. На ВМ необходимо установить специализированное ПО. В сетевой инфраструктуре назначается номер vlan, в котором будет передаваться зеркалируемый трафик между коммутаторами. Сетевая подсистема SpaceVM также настраивается на прохождение трафика выбранного vlan согласно документации SpaceVM. Также необходимо создать ВМ для анализа трафика и добавить её сетевой интерфейс в Виртуальную сеть. За выполнением этих настроек обратитесь в соответствующие разделы данной документации.

Зеркалированный трафик "уходит" с Space в сторону коммутатора Cisco

При настройке зеркалирования трафика на SpaceVM есть возможность выбрать физический порт в качестве "Порт назначения". Данный физический порт необходимо подключить к порту коммутатора и настроить этот порт на обработку зеркалированного трафика согласно документации производителя.

Проверка возможности зеркалирования трафика, приходящего с сетевых интерфейсов ВМ на сетевые интерфейсы других ВМ осуществляется следующим образом.

Предварительно необходимо подготовить инфраструктуру SpaceVM:

• Для простоты проверки необходимо, чтобы в инфраструктуре был развернут DHCP-сервис и настроена маршрутизация таким образом, чтобы ВМ получали IP-адресацию автоматически и имели доступ в Интернет.
• Создать Виртуальную сеть через оснастку Управление виртуальными сетями Web-интерфейса SpaceVM. В процессе создания виртуальной сети задать подключение к физической сети.
• Создать три ВМ на одном и том же сервере. В процессе создания ВМ необходимо добавить хотя бы один сетевой интерфейс для каждой ВМ. Сетевые интерфейсы ВМ должны быть добавлены к одной и той же виртуальной сети.
• Установить ОС на созданные ВМ.

Если установленная ОС будет без GUI(Graphical user interface), то необходимо обладать практическими навыками работы в консольном режиме ОС.
В данном примере в качестве ОС ВМ используется ОС Debian 10.3.0. Все команды на ОС ВМ будут выполняться в консольном режиме от имени пользователя root.

• Через оснастку Терминал SpaceVM ВМ необходимо выполнить проверку настройки IP-адресации сетевого интерфейса на каждой ОС ВМ. Для примера предположим, что DHCP-сервер назначил следующие IP-адреса для каждой ВМ:

  • сетевому интерфейсу ВМ-1 назначен IP-адрес 192.168.20.87 с маской /24;

  • сетевому интерфейсу ВМ-2 назначить IP-адрес 192.168.20.222 с маской /24;

  • сетевому интерфейсу ВМ-3 назначен IP-адрес 192.168.20.209 с маской /24.

• Проверить IP доступность между ВМ можно утилитой ping. Выполним эту проверку с ВМ-1. Для этого в консоли ОС выполним команды:

     ping 192.168.20.222 -c 4
     ping 192.168.20.209 -c 4
  

  Доступность по IP между ВМ будет выполнена успешно, если в результате выполнения каждой команды на экране будет строка вида:

  4 packets transmitted, 4 received, 0% packet loss

Необходимые предварительные требования завершены.

Выполним настройку зеркалирования трафика (входящего и исходящего) порта ВМ-3 на порт ВМ-2.

Для того чтобы добавить конфигурацию зеркалирования, необходимо нажать кнопку Добавить зеркалирование портов.

В открывшемся окне необходимо задать следующие параметры:

• Название: название конфигурации.
• Описание: описание конфигурации (необязательный параметр).
• Сервер: выбрать сервер, на котором были установлены ВМ-2 и ВМ-3.
• Порты источника: выбрать из раскрывающегося списка интерфейс ВМ-3.
• Порт назначения: выбрать из раскрывающегося списка интерфейс ВМ-2.
• Направление трафика: выбрать из раскрывающегося списка направление трафика: ingress-and-egress.

После заполнения полей формы необходимо нажать кнопку ОК.

В окне списка конфигураций появится созданная конфигурация зеркалирования.

Выполним процедуру проверки зеркалирования трафика с порта ВМ-3 на порт ВМ-2. Для этого необходимо перейти в Терминал SpaceVM ВМ-1, затем выполнить команду:

ping 192.168.20.209

Затем необходимо произвести "захват" интересующего нас трафика. Для этого выполним команду:

tcpdump -i ens4 icmp

В результате выполнения команды вывод на экран должен содержать следующее:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
08:51:52.728457 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 309, length 64
08:51:52.729384 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 309, length 64
08:51:53.730499 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 310, length 64
08:51:53.731185 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 310, length 64
08:51:54.732128 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 311, length 64
08:51:54.734222 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 311, length 64

Таким образом, была произведена настройка зеркалирования трафика с порта ВМ-3 на порт ВМ-2. Согласно выводу утилиты tcpdump, запущенной на ВМ-2, видим "входящий" и "исходящий" трафик интерфейса ВМ-3.

Проверка возможности "Зеркалирования трафика", приходящего с сетевых интерфейсов ВМ на сетевые интерфейсы физических серверов.

Проверка возможности "Зеркалирования трафика", приходящего с сетевых интерфейсов ВМ на сетевые интерфейсы физических серверов осуществляется подобным образом.

Единственное отличие заключается в том, что при настройке сервиса "Зеркалирования трафика" в качестве "Порта назначения" необходимо выбирать физический интерфейс SpaceVM, к которому подключен физический сервер.