配置vSphere以向FlowSensor傳送東/西通訊量
目錄
簡介
本文檔介紹如何配置vSphere,以便可以將East/West通訊量傳送到安全網路分析流量感測器
必要條件
需求
思科建議您瞭解以下主題:
- VMware vSphere
- 安全網路分析(SNA)
採用元件
VMware vSphere版本7.0.3。
安全網路分析版本7.4.2。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
設定
在vSphere中,檢視資料中心的ESXi主機數量,並確定您希望從哪些主機收集東/西流量。
在此圖中,四台主機中,只有兩台被討論,其最後兩個八位元是38.51和66.27。
ESXi主機38.51運行版本7.0.3,ESXi主機66.27運行版本6.7.0。
在38.51 ESXi主機上部署了SNA Flow Sensor 7.4.2版,它配置了兩個IP地址,最後一個八位位是39.93和39.94。
還有另外兩台裝置,分別是SNA管理器和資料節點,分別稱為管理器和DN1。
Manager和DN1這兩個主機的最後兩個八位元分別為66.215和66.217。
這兩個主機都部署在ESXi主機上,該主機的最後兩個二進位制八位數是66.27,這是與部署流量感測器不同的ESXi。
在66.27 ESXi主機上的代理交換機外無法看到Manager和DN1主機之間的流量。
SNA管理員:
SNA DN1:
組態
建立名為DSwitch的6.5.0版分散式交換機和名為DPortGroup的分散式埠組。
虛擬機器和ESXi主機的兩個上行鏈路已新增到DSswitch上的分散式埠組。
在DSwitch上,配置ERSPAN型別II映象會話。
對於埠映象會話,已選擇66.27 ESXi主機(包括Manager和DN1)上的所有主機。
對於目的地,將其設定為流量感測器39.94上eth1介面的IP。
流量感測器的eth0和eth1介面顯示在與38.51關聯的DPortGroup中。
Manager和DN1的eth0介面顯示在與66.27關聯的DPortGroup中。
驗證
從流量感測器的CLI運行tcpdump,以顯示GRE通道在eth1介面上啟動。
在SNA Manager上運行對Manager和DN1裝置的流搜尋,該SNA Manager從流量感測器接收netflow,顯示Manager和DN1主機之間的通訊量。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
23-Feb-2024 |
初始版本 |
意見