En las dos entradas anteriores (parte I y parte II) hemos visto como monitorizar el tráfico de red si tenemos vSwitch standard, pero ¿qué pasa si tenemos vSwitch distribuidos?
A la hora de crear un grupo de puertos en un dvSwitch, tenemos varias opciones para configurar el tipo de VLAN
- VLAN
- VLAN trunking
- Private VLAN
En este caso tenemos, si queremos monitorizar todas las redes desde un mismo punto, tenemos que elegir la opción VLAN trunking e indicar el valor 0 – 4094
En el caso de los dvSwitch, tenemos un nivel más en el que configurar el modo Promiscuous, ya que además de a nivel de grupo de puertos, lo podemos configurar a nivel de puerto, esto es, a nivel de la conexión de cada máquina virtual.
De esta forma, podemos afinar un poco más, y habilitar el modo Promiscuous sólo en el interfaz de captura que utiliza el sniffer, no a nivel de grupo de puertos.
Hemos visto lo que sería una solución similar a cuando tenemos vSwitch estandar, pero en lo que es la monitorización de la red cuando tenemos dvSwitch, tenemos opciones que se han implementado específicamente para este objetivo.
Port Mirroring
Con Port Mirroring básicamente lo que se hace es copiar los paquetes de un puerto a otro puerto del dvSwitch. Esto nos permite centrar la monitorización en una (o varias) máquinas en concreto, de forma que podamos “copiar” todo el tráfico que recibe y envía esa máquina virtual para procesarlo con la herramienta correspondiente.
Tenemos el concepto de máquina o puerto origen y máquina o puerto destino.
Para poder utilizar Port Mirroring seguimos los siguientes pasos
- Creamos una nueva sesión
- Seleccionamos el tipo Distributed Port Mirroring
- Indicamos el nombre y las opciones básicas (podemos dejarlas por defecto)
- Seleccionamos la máquina o máquinas origen.
- Tras añadir la máquina origen, podemos seleccionar el tipo de tráfico, tráfico entrante (Ingress), tráfico saliente (Egress) o ambos (Ingress/Egress)
- Seleccionamos la máquina de destino, en nuestro caso el SNIFFER01
- Finalizamos el asistente
- Vemos la seisión creada.
Tras crear la configuración de Port Mirroring, podemos comprobar que funciona correctamente capturando el tráfico en el sniffer.
Pese a que se utiliza dvSwitch, con Port Mirroring, si nuestra herramienta de monitorización es virtual, seguimos estando limitados a poder monitorizar únicamente el tráfico de un único host, de forma que tendremos que crear una regla DRS para que la máquina origen y destino se ejecuten siempre en el mismo host ESXi.
Con Port Mirroring también podemos “copiar” el tráfico entre otros orígenes y destinos, no solo entre máquinas virtuales
- Remote Mirroring Source: el destino es un uplink al que enviar el tráfico
- Remote Mirrofing Destination: permite seleccionar una VLAN (o varias) como origen del tráfico
- Encapsulated Remote Mirroring (L3) Source: permite enviar el tráfico a un destino a través de una dirección IP
NetFlow
Es un protocolo de red que permite enviar el tráfico que está gestionando un dvSwitch a un analizador (collector) donde se reciben los datos y se procesan para su posterior estudio.
La configuración es muy sencilla y se debe realizar por dvSwitch.
Indicamos la dirección IP del recolector, el puerto, y la IP que se le va a asignar al dvSwitch para que el recolector pueda obtener el tráfico generado.
Y habilitamos el grupo de puertos o grupo de puertos para los que queremos habilitar Netflow
Una vez configurado el dvSwitch, vamos al analizador de tráfico compatible con Netflow, y configuramos el dispositivo para obtener el tráfico, por ejemplo PRTG
Nota: para ver de forma completa como configurar PRTG podemos ver un ejemplo de Jorge de la Cruz en esta dirección: http://www.paessler.com/blog/2014/08/15/monitoring-knowledge/netflow-configuration-and-monitoring-via-prtg-on-vmware-vsphere
Referencias:
kb.vmware.com/kb/1002934
kb.vmware.com/kb/1004099
http://en.wikipedia.org/wiki/Promiscuous_mode
http://blogs.vmware.com/vsphere/2013/01/vsphere-5-1-vds-feature-enhancements-port-mirroring-part-1.html
http://blogs.vmware.com/vsphere/2011/08/vsphere-5-new-networking-features-netflow.html
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?