Demo Starten

Konfiguration von ERSPAN mit VMware

Mit dem Encapsulated RSPAN (ERSPAN) können Sie den Verkehr auf mehreren Netzwerkschnittstellen oder VLANs überwachen und den überwachten Verkehr dann an ein oder mehrere Ziele senden. Das ExtraHop-System unterstützt die Paketspiegelungsfunktion VMware Encapsulated Remote Mirroring Source, eine ERSPAN-ähnliche Funktion.

In den folgenden Verfahren wird erklärt, wie eine Schnittstelle auf dem ExtraHop-System für den Empfang von ERSPAN-Verkehr konfiguriert wird und wie der VMware-Server mit dem vSphere Web Client konfiguriert wird.

Weitere Informationen zur Netzwerkkonfiguration auf dem ExtraHop-System finden Sie in der ExtraHop Admin-UI-Leitfaden .

Weitere Informationen zur Konfiguration des VMware vSphere-Servers finden Sie unter Arbeiten mit Port Mirroring in der VMware-Dokumentation.

Konfigurieren Sie die Einstellungen der ExtraHop-Benutzeroberfläche

  1. Loggen Sie sich in die Administrationseinstellungen des ExtraHop-Systems ein über https://<extrahop-hostname-or-IP-address>/admin.
  2. In der Netzwerk-Einstellungen, klicken Konnektivität.
  3. In der Schnittstellen Abschnitt, klicken Schnittstelle 1.
    Hinweis:Wenn du wählst Schnittstelle 1 für das Management und Schnittstelle 2 für ERSPAN können Sie nicht beide Schnittstellen im selben Subnetz konfigurieren.
  4. Wählen Geschäftsleitung + RPCAP/ERSPAN/VXLAN/GENEVE Target von der Schnittstellenmodus Drop-down-Liste.
  5. Füllen Sie die verbleibenden Felder aus und klicken Sie dann auf Speichern.
  6. Optional: Konfigurieren oder deaktivieren Sie je nach Konfiguration die verbleibenden Schnittstellen.
    Hinweis:Weitere Informationen zum Einrichten von Netzwerkschnittstellen finden Sie in der Konnektivität Abschnitt im ExtraHop Administration Guide.

Konfigurieren Sie die Portspiegelung auf dem vSphere-Server

  1. Melden Sie sich beim vSphere Web Client an und wählen Sie den vSphere Distributed Switch (VDS) aus, von dem aus Sie den Datenverkehr überwachen möchten.
  2. Klicken Sie auf EinstellungenRegisterkarte.
  3. Klicken Sie im Bereich Einstellungen auf Port-Spiegelung.
  4. klicken Neu... um eine Port-Mirroring-Sitzung zu erstellen, um den vSphere Distributed Switch-Verkehr auf bestimmte physische Switch-Ports zu spiegeln.
    Hinweis:Ausführliche Informationen zum Erstellen einer Port-Mirroring-Sitzung finden Sie in Ihrer vSphere-Dokumentation.
    1. In der Sitzungstyp wählen Abschnitt, wählen Quelle für gekapselte Fernspiegelung (L3) und klicken Weiter.
    2. In der Eigenschaften bearbeiten Abschnitt, konfigurieren Sie die folgenden Einstellungen:

      Name: Geben Sie den Namen an.

      Status: Wählen Aktiviert aus der Drop-down-Liste.

      Art der Verkapselung: Wählen ERSPAN Typ II aus der Drop-down-Liste

      Hinweis:GRE ist ein unterstützter Kapselungstyp; Sie müssen jedoch konfigurieren Entkapselung von Netzwerk-Overlays für NVGRE auf dem Sensor.

    3. In der Quellen auswählen Abschnitt, wählen Sie vorhandene Ports aus oder erstellen Sie neue Quellports und klicken Sie dann auf Weiter.
      Warnung: Schließen Sie keine VMkernel-Ports (vmk), keine Ports, die mit dem virtuellen Reveal (x) Sensor verbunden sind, oder Ports, die möglicherweise die von diesem Spiegel erstellten ERSPAN-Daten übertragen, mit ein. Durch das Hinzufügen dieser Ports wird der für den Sensor bestimmte Datenverkehr verstärkt und die Netzwerkfähigkeit des dvSwitch unterbrochen , wodurch alle Hosts oder Schnittstellen, die am dvSwitch beteiligt sind, dauerhaft nicht verfügbar sind.
    4. In der Wählen Sie Anschlüsse Wählen Sie in diesem Abschnitt virtuelle Ports aus , die in diesen Spiegel aufgenommen werden sollen.
      Warnung: Schließen Sie keine VMkernel-Ports (vmk), keine Ports, die mit dem virtuellen Reveal (x) Sensor verbunden sind, oder Ports, die möglicherweise die von diesem Spiegel erstellten ERSPAN-Daten übertragen, mit ein. Durch das Hinzufügen dieser Ports wird der für den Sensor bestimmte Datenverkehr verstärkt und die Netzwerkfähigkeit des dvSwitch unterbrochen , wodurch alle Hosts oder Schnittstellen, die am dvSwitch beteiligt sind, dauerhaft nicht verfügbar sind.
    5. klicken Weiter.
    6. Klicken Sie im Abschnitt Ziele auswählen auf das Pluszeichen (+), um die IP-Adresse oder Adressen hinzuzufügen, die den gespiegelten Verkehr empfangen sollen.
    7. In der Bereit zum Abschließen Abschnitt, überprüfen Sie die Einstellungen und klicken Sie dann auf Fertig stellen.
    Hinweis:Erwägen Sie, das TCP-Segmentierungs-Offloading auf den Betriebssystemen zu deaktivieren, von denen der gespiegelte Datenverkehr stammt.
Last modified 2024-04-10