Перейти к содержанию

Зеркалирование портов

Общие сведения

В данном разделе содержится информация по настройке зеркалирования портов.

Зеркалирование трафика

Зеркалирование трафика — это дублирование пакетов, передаваемых/получаемых через один порт устройства на другой.

Настройка зеркалирования портов происходит в разделе Сети - Контроль трафика - Политики Виртуальных сетей - Зеркалирование портов.

Добавление конфигурации

Для того чтобы добавить конфигурацию зеркалирования, необходимо нажать кнопку Добавить зеркалирование портов. В открывшемся окне необходимо задать следующие параметры:

  • Название.

    Название конфигурации.

  • Описание.

    (Необязательный параметр) Описание конфигурации.

  • Сервер.

    Сервер, на котором будет работать конфигурация.

  • Порты источника.

    Порты источника трафика (допускается выбрать несколько портов).

  • Порт назначения.

    Порт назначения трафика (допускается выбрать только один порт).

    Порты источника и назначения

    Порт источника и Порт назначения должны быть разными портами. В противном случае создать конфигурацию будет невозможно.

    Внимание

    При выборе в качестве Порта назначения физического интерфейса необходимо учитывать возможность образования петли и потери доступа к интерфейсу управления системы SpaceVM. Образование петли зависит от настройки подключения SpaceVM к транспортной сети организации.

  • Направление трафика.

    • ingress - входящий трафик.

    • egress - исходящий трафик.

    • ingress-and-egress - входящий и исходящий трафик.

    Внимание

    Направление трафика — это направление трафика в портах источника.

    Направление трафика задается относительно коммутатора сервера SpaceVM. Например, если выбран тип направления ingress, то задано зеркалирование трафика, направленного в порт коммутатора сервера SpaceVM (но в направлении, исходящем от ВМ).

После заполнения полей формы необходимо нажать кнопку ОК.

В окне списка конфигураций отображены конфигурации зеркалирования. Поле Статус описывает текущее состояние конфигурации.

Изменение конфигурации

Для изменения параметров конфигурации необходимо нажать на название соответствующей конфигурации. В открывшемся окне необходимо нажать кнопку Изменение параметров.

Для изменения доступны следующие параметры:

  • Порты источника.

  • Порт назначения.

  • Направление трафика.

Удаление конфигурации

Для удаления конфигурации необходимо выбрать соответствующую конфигурацию. В открывшемся окне нажать на кнопку Удалитьи подтвердить действие кнопкой ОК.

Совместимость SpaceVM с технологией Cisco RSPAN

Ниже представлены примеры схем взаимодействия SpaceVM с технологией Зеркалирования трафика Cisco RSPAN.

Важно

Коммутаторы Cisco должны поддерживать технологию Cisco RSPAN.

Зеркалированный трафик приходит на коммутатор SpaceVM со стороны коммутатора Cisco

- Схема сети:

Зеркалированный трафик -> коммутатор Cisco(RSPAN) -> ... -> коммутатор Cisco(RSPAN) -> SpaceVM

- Пример:

Необходимо проанализировать трафик с помощью специализированного ПО. Для этого необходимо зеркалировать трафик источника и передать его на ВМ, размещенную на SpaceVM.
На ВМ необходимо установить специализированное ПО. В сетевой инфраструктуре назначается номер vlan, в котором будет передаваться зеркалируемый трафик между коммутаторами. Сетевая подсистема SpaceVM также настраивается на прохождение трафика выбранного vlan. Также необходимо создать ВМ для анализа трафика и добавить ее сетевой интерфейс в виртуальную сеть.

Зеркалированный трафик уходит со SpaceVM в сторону коммутатора Cisco

- Схема сети:

ПК <- коммутатор Cisco(RSPAN) <- ... <- коммутатор Cisco(RSPAN) <- SpaceVM (Зеркалирование трафика).

- Пример:

При настройке зеркалирования трафика на SpaceVM есть возможность выбрать физический порт в качестве Порта назначения. Данный физический порт необходимо подключить к порту коммутатора и настроить его порт на обработку зеркалированного трафика согласно документации производителя.

Зеркалирование портов одной ВМ на порты другой ВМ

Ниже представлена проверка возможности зеркалирования трафика, направленного с сетевых интерфейсов одной ВМ на сетевые интерфейсы других ВМ.

Требования к инфраструктуре для проверки:

  1. Виртуальная сеть с подключением через физические сети.

  2. Три ВМ на одном сервере с установленными ОС Debian 10.3.0.

    В процессе создания ВМ необходимо добавить хотя бы один сетевой интерфейс для каждой ВМ. Сетевые интерфейсы ВМ должны быть добавлены к одной и той же виртуальной сети.

  3. ВМ получают IP-адреса по DHCP и имеют доступ в Интернет.

После настройки инфраструктуры необходимо проверить ее корректность.

Примечание

Все команды операционной системы ВМ выполняются в консольном режиме из-под учетной записи пользователя root.

Внимание

Указанные ниже IP-адреса представлены в качестве примера.

  • Выполнить проверку настройки IP-адресации сетевого интерфейса на каждой ОС ВМ.

    • Сетевому интерфейсу ВМ-1 назначен IP-адрес 192.168.20.87 с маской /24.

    • Сетевому интерфейсу ВМ-2 назначен IP-адрес 192.168.20.222 с маской /24.

    • Сетевому интерфейсу ВМ-3 назначен IP-адрес 192.168.20.209 с маской /24.

  • Проверить связность между ВМ.

    • На ВМ-1 выполнить команды: 

      ping 192.168.20.222 -c 4

      ping 192.168.20.209 -c 4

    • На ВМ-2 выполнить команды: 

      ping 192.168.20.87 -c 4

      ping 192.168.20.209 -c 4

    • На ВМ-3 выполнить команды: 

      ping 192.168.20.87 -c 4

      ping 192.168.20.222 -c 4

    Связность между ВМ подтверждена, если в результате выполнения каждой команды на экране будет строка: 

    4 packets transmitted, 4 received, 0% packet loss

Необходимые предварительные требования завершены.

Далее необходимо выполнить настройку зеркалирования трафика (входящего и исходящего) порта ВМ-3 на порт ВМ-2.

Для того чтобы добавить конфигурацию зеркалирования, необходимо нажать кнопку Добавить зеркалирование портов в разделе главного меню SpaceVM Сети - Контроль трафика - <Набор политик> - Зеркалирование портов.

В открывшемся окне необходимо задать следующие параметры:

  • Название.

    Название конфигурации.

  • Описание.

    Описание конфигурации (необязательный параметр).

  • Сервер.

    Необходимо выбрать сервер, на котором были установлены ВМ.

  • Порты источника.

    Выбрать из раскрывающегося списка интерфейс ВМ-3.

  • Порт назначения.

    Выбрать из раскрывающегося списка интерфейс ВМ-2.

  • Направление трафика.

    Выбрать из раскрывающегося списка направление трафика: ingress-and-egress.

После заполнения полей формы необходимо нажать кнопку ОК. В окне списка конфигураций появится созданная конфигурация зеркалирования.

Далее необходимо выполнить процедуру проверки зеркалирования трафика с порта ВМ-3 на порт ВМ-2.

  • На ВМ-1 выполнить команду: 

    ping 192.168.20.209

  • Произвести захват интересующего трафика: 

    tcpdump -i ens4 icmp

Внимание

ens4 — это имя интерфейса, на котором работает утилита tcpdump. Имя интерфейса указано в качестве примера и может отличаться в зависимости от инфраструктуры.
Чтобы узнать имя интерфейса, необходимо выполнить команду ip addr show и найти интерфейс, на который назначен IP-адрес 192.168.20.222 (IP-адрес ВМ-2).

Пример вывода команды tcpdump -i ens4 icmp 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens4, link-type EN10MB (Ethernet), capture size 262144 bytes
08:51:52.728457 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 309, length 64
08:51:52.729384 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 309, length 64
08:51:53.730499 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 310, length 64
08:51:53.731185 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 310, length 64
08:51:54.732128 IP 192.168.20.87 > 192.168.20.209: ICMP echo request, id 577, seq 311, length 64
08:51:54.734222 IP 192.168.20.209 > 192.168.20.87: ICMP echo reply, id 577, seq 311, length 64
...

Согласно выводу утилиты tcpdump, входящий и исходящий трафик интерфейса ВМ-3 приходит на интерфейс ВМ-2.

Зеркалирование портов ВМ на порты физических серверов

Ниже представлена проверка возможности зеркалирования трафика, приходящего с сетевых интерфейсов ВМ на сетевые интерфейсы физических серверов.

Необходимо выполнить действия аналогично разделу Зеркалирование портов одной ВМ на порты другой ВМ, но в качестве Порта назначения указать физический интерфейс SpaceVM, к которому подключен физический сервер.

Внимание

При выборе в качестве Порта назначения физического интерфейса необходимо учитывать возможность образования петли и потери доступа к интерфейсу управления системы SpaceVM. Образование петли зависит от настройки подключения SpaceVM к транспортной сети организации.