- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
H3C CAS 端口镜像配置指导-5W100-整本手册.pdf 
(829.89 KB)
H3C CAS云计算管理平台
端口镜像配置指导
软件版本:E0730及之后版本
资料版本:5W100-20220919
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
端口镜像通过将指定端口的报文复制到与数据监测设备相连的端口,使用户可以利用数据监测设备分析这些镜像过来的报文,以进行网络监控和故障排除。本文档介绍H3C CAS 端口镜像特性的使用方法和操作步骤。
在端口镜像中,有几个基本概念,分别是镜像源、镜像目的、镜像方向和镜像VLAN ID。
· 镜像源:指被监控的对象,在虚拟化应用中,该对象就是虚拟机的虚拟网卡。经由被监控对象收发的报文会被复制一份到与数据监测设备(或虚拟机)相连的端口,用户就可以对这些报文(称之为镜像报文)进行监控和分析。
· 镜像目的:指镜像报文所要达到的目的地,即与数据监测设备相连的那个端口。
· 镜像方向:指在虚拟交换机上可复制的报文方向,包括:
¡ 入方向:指仅复制虚拟机指定端口发送到虚拟交换机的报文。
¡ 出方向:指仅复制虚拟交换机发送到虚拟机指定端口的报文。
¡ 双向:指对虚拟机指定端口收到和发出的报文都进行复制。
· 镜像VLAN ID:将镜像报文从源端口传送到目的端口时专用的VLAN,用于跨主机镜像(即镜像源和镜像目的不在同一个物理主机)时,隔离镜像报文和业务报文。镜像报文在源虚拟交换机上封装VLAN标签,邻接物理交换机上透传并在VLAN内广播该报文,镜像目的所在的虚拟交换机接收到该报文之后,剥除镜像VLAN,将报文发送给相同VLAN配置的目的虚拟机的虚拟网卡。
· 本文档介绍的端口镜像配置指导仅适用于E0730及之后版本,E0730之前版本请参见《H3C CAS端口镜像特性操作指导书》。
· 镜像VLAN ID不允许与业务VLAN ID重复,不同镜像策略的镜像VLAN ID也不允许重复。
· 跨主机端口镜像时,要求中间设备必须允许镜像VLAN通过,并关闭该VLAN ID的MAC地址学习功能,以确保镜像源与镜像目的之间的二层网络畅通,同时,必须确保镜像报文从源到达目的的过程中,其VLAN ID不被修改或删除,否则跨主机镜像功能将失效。
· 在刀片环境中,由于刀片服务器与外部接入交换机之间有VC模块,而VC模块无法处理镜像VLAN报文,导致镜像功能失效。因此,暂时不支持刀片环境下的端口镜像功能。
验证H3C CAS云计算管理平台端口镜像功能的逻辑组网拓扑图如图2-1所示。
· 在CVK主机上安装三个虚拟机,其中VM #1和VM #3分别为镜像源和镜像目的,VM #1和VM#2作为测试虚拟机。
· 在虚拟交换机上配置端口镜像策略,将虚拟交换机入方向(即从VM #1的虚拟网卡(Virtual Network Interface Cards,vNIS)发送到虚拟交换机)的报文(红色虚线1A)镜像发送到VM #3(红色虚线1B)。
· 在VM #1上使用Ping命令向VM #2发送报文进行测试。在镜像目的虚拟机VM #3上,通过tcpdump工具抓取报文,验证是否只观察到源IP为VM #1,目的IP为VM #2的ICMP Request报文。
· 在虚拟交换机上修改端口镜像策略,将虚拟交换机出方向(即从虚拟交换机发送到VM #1的vNIC)的报文(蓝色虚线2A)镜像到VM#3(蓝色虚线2B)。
· 在VM #2使用Ping命令向VM #1发送报文进行测试。在镜像目的虚拟机VM #3上,通过tcpdump工具抓取报文,验证是否只观察到源IP为VM #2,目的IP为VM #1的ICMP Request报文。
· 在虚拟交换机上修改端口镜像策略,将虚拟交换机双向(即虚拟交换机发送到VM #1的vNIC以及从VM #1的vNIC接收)的报文(绿色虚线3A)镜像到VM #3(绿色虚线3B)。
· 在VM #1使用Ping命令向VM #2发送报文进行测试,在镜像目的虚拟机VM #3上,通过tcpdump工具抓取报文,验证是否同时观察到源IP为VM #1,目的IP为VM #2的ICMP Request报文,以及源IP为VM #2,目的IP为VM #1的ICMP Reply报文。
(1) 系统管理员登录H3C CAS CVM云计算管理平台,在CVK主机上创建1个新的虚拟机(VM),虚拟机主要配置如下表所示。
|
资源 |
大小 |
|
vCPU |
8核 |
|
vMem |
8GB |
|
vDisk |
1 * 80GB(Virtio,本地磁盘) |
|
vNIC |
1(Virtio,启用内核加速) |
|
虚拟交换机 |
vSwitch0(管理口) |
上述虚拟机资源配置仅为测试环境下的配置,不作为生产环境中业务虚拟机的推荐配置。生产环境中的虚拟机配置应该根据业务本身对CPU、内存、磁盘和网卡等资源的实际需求进行评估和测试后最终确定。
(2) 选择顶部“云资源”页签,单击左侧导航树[计算/主机池/主机/<虚拟机>]或者[计算/主机池/集群/主机/<虚拟机>]菜单项,进入虚拟机概要信息页面。
(3) 单击<修改虚拟机>按钮,弹出修改虚拟机页面。
(4) 选择选项框中“光驱”菜单项,为虚拟机添加系统镜像文件,单击<应用>按钮保存设置。
(5) 在控制台(VNC)中完成CentOS-7-x86_64系统的安装。
图2-2 为虚拟机安装操作系统
可以通过虚拟机概要界面挂载光驱,在虚拟机概要界面,硬件信息栏为虚拟机挂载光驱。
为虚拟机选择镜像文件
(6) 正常关闭虚拟机,将虚拟机转换为虚拟机模板。
(7) 通过虚拟机模板部署虚拟机,依次部署3个测试虚拟机VM #1~VM #3。
图2-3 基于虚拟机模板部署测试虚拟机
(1) 配置测试虚拟机IP地址。
a. 登录H3C CAS CVM云计算管理平台,选择顶部“云资源”页签,单击左侧导航树[计算/主机池/主机/<虚拟机>]或者[计算/主机池/集群/主机/<虚拟机>]菜单项,进入虚拟机概要信息页面。
b. 单击<修改虚拟机>按钮,弹出修改虚拟机页面。
c. 选择选项框中“网络”菜单项,手动配置VM #1~VM #3的IP地址。每完成一类配置信息的修改,需要单击<应用>按钮保存设置。
|
虚拟机序号 |
名称 |
用途 |
IP地址 |
|
VM #1 |
PingSource |
镜像源,同时作为Ping业务的一端。 |
172.16.89.1 |
|
VM #2 |
PingDest |
Ping业务的另一端。 |
172.16.89.2 |
|
VM #3 |
Monitor |
镜像目的,通过监控软件验证镜像结果的正确性。 |
172.16.89.3 |
H3C CAS CVM云计算管理平台支持通过界面直接设置虚拟机的IP地址和掩码等网络参数,但要求虚拟机上必须已经安装CAStools工具。
d. 配置完成之后,在虚拟机操作系统的终端界面,使用Ping命令在各虚拟机间发送报文,确保网络可达。
如果IP地址已经配置成功,但是虚拟机之间无法相互Ping通,可能的原因是虚拟机操作系统开启了防火墙,默认禁止Ping报文入出。此时,可以尝试关闭操作系统中的防火墙配置。
(2) 在镜像目的虚拟机(VM #3)的操作系统内,安装tcpdump工具。
(1) 选择顶部“云资源”页签,单击左侧导航树[计算/主机池/<主机名>]或者[计算/主机池/集群/<主机名>]菜单项,进入主机概要信息页面。
(2) 选择“虚拟交换机”页签,进入该主机的虚拟交换机列表页面。
(3) 选择业务虚拟机使用的虚拟交换机,单击操作列的<更多>按钮,选择[高级设置]菜单项,弹出虚拟交换机高级设置对话框。
图2-4 端口镜像策略配置入口
(4) 在弹出的“高级设置”对话框中,选择“端口镜像”选项,单击<增加>按钮,启动端口镜像策略配置向导。
(5) 输入端口镜像策略名称和镜像VLAN ID,选择方向为“入方向”,单击<下一步>按钮。
图2-5 端口镜像策略配置向导第一步
(6) 为端口镜像指定源端口,选择“选择虚拟机网卡”,选择VM #1作为镜像源,单击<下一步>按钮。
图2-6 端口镜像策略配置向导第二步
如果在选择虚拟机网卡时,没有可选择的网卡,这可能是由于虚拟机网络策略模板使用了系统缺省策略导致的,请尝试添加使用新的网络策略模板,其中VLAN ID请勿设置为1。
(7) 为端口镜像指定目的端口。选择VM #3作为镜像目的,单击<确定>按钮,完成配置。
图2-7 端口镜像策略配置向导第三步
(8) 完成配置之后,可以看到目前已配置的端口镜像策略。
图2-8 端口镜像策略配置向导第四步
(1) 登录H3C CAS CVM云计算管理平台,从导航树中选择新增加的VM #1虚拟机,进入虚拟机概要信息页面。
(2) 选择“控制台”页签,进入控制台页面。单击“Java”或者“网页”链接,打开虚拟桌面窗口。
(3) 在VM #1的终端上Ping VM #2。
图2-9 以Ping(ICMP)报文模拟业务流量
(4) 登录VM #3控制台中使用tcpdump -i eth0 icmp命令监测eth0网关上通过的ICMP协议报文,验证入方向端口镜像策略是否生效。实际测试中请将eth0修改为VM #3实际使用的vswitch名称。
图2-10 通过tcpdump工具验证入方向端口镜像策略
因为从VM #1发送到VM #2的ICMP Request报文经过虚拟交换机的时候,对虚拟交换机而言,该报文是从VM #1虚拟网卡方向入的报文。因此,虚拟交换机匹配到入方向端口镜像策略之后,应将该报文镜像到镜像目的。在VM #3虚拟机上,通过tcpdump工具的监测结果可以看出,VM #1发送到VM #2的6个ICMP Request报文被成功镜像到VM #3的虚拟网卡上,源IP地址为VM #1虚拟网卡的IP地址,目的IP地址为VM #2虚拟网卡的IP地址。
(1) 选择顶部“云资源”页签,单击左侧导航树[计算/主机池/<主机名>]或者[计算/主机池/集群/<主机名>]菜单项,进入主机概要信息页面。
(2) 选择“虚拟交换机”页签,进入该主机的虚拟交换机列表页面。
(3) 选择2.3.1 配置端口镜像策略中配置的虚拟交换机,单击操作列的<更多>按钮,选择[高级设置]菜单项,弹出虚拟交换机高级设置对话框。
(4) 选择“端口镜像”页签,进入端口镜像列表页面。
(5) 选择2.3.1 配置端口镜像策略中创建的端口镜像,单击操作列的<修改>按钮,弹出修改端口镜像对话框。虚拟交换机上的端口镜像策略方向为出方向,其余配置保持不变。
图2-11 修改端口镜像策略方向为出方向
(6) 从导航树中选择新增加的VM #2虚拟机,进入虚拟机概要信息页面。
(7) 选择“控制台”页签,进入控制台页面。单击“Java”或者“网页”链接,打开虚拟桌面窗口。
(8) 在VM #2的终端上Ping VM #1。
图2-12 以Ping(ICMP)报文模拟业务流量
(9) 登录VM #3控制台中使用tcpdump -i eth0 icmp命令监测eth0网关上通过的ICMP协议报文,验证出方向端口镜像策略是否生效。实际测试中请将eth0修改为VM #3实际使用的vswitch名称。
图2-13 通过tcpdump工具验证出方向端口镜像策略
因为从VM #2发送到VM #1的ICMP Request报文经过虚拟交换机的时候,对虚拟交换机而言,该报文是从虚拟交换机转发到VM #1虚拟网卡的,也就是从虚拟交换机发送出去的报文,因此,虚拟交换机匹配到出方向端口镜像策略之后,应将该报文镜像到镜像目的。在VM #3虚拟机上,通过tcpdump工具的监测结果可以看出,VM #2发送到VM #1的6个ICMP Request报文被成功镜像到VM #3的虚拟网卡上,源IP地址为VM #2虚拟网卡的IP地址,目的IP地址为VM #1虚拟网卡的IP地址。
(1) 该步骤请参见2.3.3 验证出方向端口镜像策略,修改虚拟交换机上的端口镜像策略方向为双向,其余配置保持不变。
图2-14 修改端口镜像策略方向为双向
(2) 该步骤请参见2.3.3 验证出方向端口镜像策略,在VM #1的终端上Ping VM #2。
图2-15 以Ping(ICMP)报文模拟业务流量
(3) 登录VM #3控制台中使用tcpdump -i eth0 icmp命令监测eth0网关上通过的ICMP协议报文,验证双向端口镜像策略是否生效。实际测试中请将eth0修改为VM #3实际使用的vswitch名称。
图2-16 通过tcpdump工具验证双向端口镜像策略
因为从VM #1发送到VM #2的ICMP Request报文,以及从VM #2回应VM #1的ICMP Reply报文经过虚拟交换机的时候,对虚拟交换机而言,该报文是从VM #1虚拟网卡进入虚拟交换机,再由虚拟交换机转发到VM #2虚拟网卡的,因此,虚拟交换机匹配到双向端口镜像策略之后,既将VM #1发送的ICMP Request报文镜像到镜像目的,也会将VM #2回应的ICMP Reply报文镜像到镜像目的。在VM #3虚拟机上,通过tcpdump工具的监测结果可以看出,VM #1发送到VM #2的6个ICMP Request报文,以及VM #2回应VM #1的6个ICMP Reply都被成功镜像到VM #3的虚拟网卡上。
支持
售前咨询
售后咨询
人工在线咨询
