將UCS刀鋒伺服器上的虛擬機器配置為SPAN目標

簡介

本檔案介紹擷取完全在Cisco Unified Computing System(UCS)外部的流量並將之導向在UCS中執行監聽器工具的虛擬機器(VM)的步驟。所捕獲流量的源和目標在UCS之外。捕獲可以在直接連線到UCS的物理交換機上啟動，或者它可能離這裡幾跳遠。

必要條件

需求

思科建議您瞭解以下主題：

• UCS
• VMware ESX 4.1或更高版本
• 封裝遠端交換器連線埠分析器(ERSPAN)

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 執行12.2(18)ZYA3c的Cisco Catalyst 6503
• 運行2.2(3e)的Cisco UCS B系列
• VMWare ESXi 5.5內部版1331820

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

背景資訊

UCS沒有遠端SPAN(RSPAN)功能來接收來自已連線交換器的SPAN流量並將其導向本地連線埠。因此，在UCS環境中實現此目標的唯一方法是在物理交換機上使用封裝的RSPAN(ERSPAN)功能，並使用IP將捕獲的流量傳送到VM。在某些實現中，運行監聽器工具的VM不能具有IP地址。本檔案將說明監聽器VM具有IP位址時所需的組態，以及沒有IP位址的情況。此處的唯一限制是監聽器VM需要能夠從傳送到它的流量讀取GRE/ERSPAN封裝。

設定

網路圖表

本檔案已考慮此拓撲：

連線到Catalyst 6500的GigabitEthernet1/1的PC正在受到監控。GigabitEthernet1/1上的流量會擷取，並傳送到伺服器1上在Cisco UCS中執行的監聽器VM。6500交換器上的ERSPAN功能會擷取流量，使用GRE將其封裝起來，然後傳送到監聽器VM的IP位址。

使用IP位址的監聽器VM

附註：本節所述的步驟也可用於監聽器在UCS刀鋒上的裸機伺服器中執行，而不是在VM上執行的案例。

當監聽器VM可以具有IP地址時，需要執行以下步驟：

• 使用從6500可訪問的IP地址配置UCS環境中的監聽器VM
• 在VM內運行監聽器工具
• 在6500上設定ERSPAN來源作業階段，並將擷取的流量直接傳送到VM的IP位址

6500交換器上的設定步驟：

CAT6K-01(config)#monitor session 1 type erspan-source
CAT6K-01(config-mon-erspan-src)#source interface gi1/1
CAT6K-01(config-mon-erspan-src)#destination
CAT6K-01(config-mon-erspan-src-dst)#ip address 192.0.2.2
CAT6K-01(config-mon-erspan-src-dst)#origin ip address 192.0.2.1
CAT6K-01(config-mon-erspan-src-dst)#erspan-id 1
CAT6K-01(config-mon-erspan-src-dst)#exit
CAT6K-01(config-mon-erspan-src)#no shut
CAT6K-01(config-mon-erspan-src)#end

在本例中，監聽器VM的IP地址為192.0.2.2

無IP位址的監聽器VM

當監聽器VM不能具有IP地址時，需要執行以下步驟：

• 在UCS環境中配置監聽器VM
• 在VM內運行監聽器工具
• 建立可在同一主機中具有IP地址的第二台VM，並配置從6500可訪問的IP地址
• 將VMWare vSwitch上的埠組配置為混雜模式
• 在6500上設定ERSPAN來源作業階段，並將擷取的流量傳送到第二台VM的IP位址

以下步驟顯示了VMWare ESX上所需的配置：如果已配置埠組，請直接轉到步驟2。

1.建立虛擬機器埠組並將兩個虛擬機器分配給它

• 導覽至Networking索引標籤，然後按一下vSphere Standard Switch底下的Add Networking

• 建立虛擬機器型別的埠組

• 將物理介面(vmnic)分配給埠組，如下圖所示。

• 設定連線埠組的名稱，並新增相關VLAN，如下圖所示。

• 驗證組態並按一下Finish，如下圖所示。

2.將埠組配置為混雜模式，如下圖所示。

• port-group現在必須出現在Networking頁籤下
• 按一下Properties

• 選擇埠組並按一下Edit

• 前往Security索引標籤，將「Promiscuous」模式設定變更為「Accept」，如下圖所示

3.從「虛擬機器設定」部分將兩個虛擬機器分配給埠組。

4.這兩個虛擬機器現在必須出現在網路頁籤下的埠組中。

在本示例中，具有IP的VM是具有IP地址的第二個VM，而監聽器VM是具有沒有IP地址的監聽器工具的VM。

5.這顯示了6500交換器上的設定步驟：

CAT6K-01(config)#monitor session 1 type erspan-source
CAT6K-01(config-mon-erspan-src)#source interface gi1/1
CAT6K-01(config-mon-erspan-src)#destination
CAT6K-01(config-mon-erspan-src-dst)#ip address 192.0.2.3
CAT6K-01(config-mon-erspan-src-dst)#origin ip address 192.0.2.1
CAT6K-01(config-mon-erspan-src-dst)#erspan-id 1
CAT6K-01(config-mon-erspan-src-dst)#exit
CAT6K-01(config-mon-erspan-src)#no shut
CAT6K-01(config-mon-erspan-src)#end

在本示例中，第二台虛擬機器（具有IP的虛擬機器）的IP地址為192.0.2.3。

透過此設定，6500會封裝擷取封包，並使用IP位址傳送封包給虛擬機器。VMWare vSwitch上的混雜模式使監聽器VM也能看到這些資料包。

故障場景

本節介紹在實體交換器上使用本地SPAN功能（而不是ERSPAN功能）時的常見故障情況。此處考慮此拓撲：

使用本地SPAN功能監控從PC A到PC B的流量。SPAN流量的目的地會導向連線到UCS光纖互連(FI)的連線埠。

具有監聽器工具的虛擬機器在伺服器1上的UCS內運行。

以下是6500交換器上的組態：

CAT6K-01(config)#monitor session 1 source interface gigabitEthernet 1/1, gigabitEthernet 1/2
CAT6K-01(config)#monitor session 1 destination interface gigabitEthernet 1/3

所有在埠Gig1/1和Gig1/2上流動的流量都會複製到埠Gig1/3。UCS FI不知道這些資料包的源和目標mac地址。

在UCS乙太網終端主機模式下，FI會丟棄這些未知的單點傳播資料包。

在UCS乙太網交換模式下，FI會獲取連線到6500(Eth1/1)的埠的源MAC地址，然後將資料包向下游泛洪到伺服器。發生以下事件：

1. 為便於理解，請考慮介面Gig1/1和Gig1/2上僅在PC A（具有mac地址aaaa.aaaa.aaaa）和PC B（具有mac地址bbb.bbb.bbb）之間傳輸的流量
2. 第一個資料包是從PC A到PC B的，這在UCS FI Eth1/1上可見
3. FI會學習Eth1/1上的mac-address aaaa.aaaa.aaaa
4. FI不知道目的地mac-address bbb.bbb.bbb，並將封包湧向同一VLAN中的所有連線埠
5. 位於同一VLAN中的監聽器VM也會看到此封包
6. 下一個資料包從PC B傳送到PC A
7. 當這命中Eth1/1時，會在Eth1/1上獲知mac-address bbb.bbb.bbb
8. 封包的目的地為mac-address aaaaa.aaaa.aaaa
9. 在Eth1/1上獲取mac-address aaaa.aaaa.aaaa且在Eth1/1上接收資料包時，FI會丟棄此資料包
10. 由於相同原因，後續資料包被丟棄，這些資料包的目的地為mac-address aaaa.aaaa.aaaa或mac-address bbb.bbb.bbb

驗證

目前沒有適用於此組態的驗證程序。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

• 在虛擬交換機或埠組上配置混雜模式
• Catalyst 6500上的SPAN、RSPAN和ERSPAN
• 使用開源工具解除封裝ERSPAN流量
• 技術支援與文件 - Cisco Systems