Sichtbarkeit und Kontrolle des virtuellen Netzwerks

Im Abschnitt „Sichtbarkeit und Kontrolle“ können Sie das Netzwerkverhalten überwachen und Netzwerkrichtlinien konfigurieren. Um auf die Seiten zuzugreifen, wählen Sie oben auf der vSwitch Controller-Schnittstelle das Symbol Sichtbarkeit und Kontrolle aus.

Status anzeigen

Die Registerkarte Status enthält detaillierte Informationen in Tabellenform über den Knoten, der in der Ressourcenstruktur ausgewählt ist. Die Art der Informationen, die angezeigt werden, variiert je nach ausgewähltem Knoten. Die meisten einzelnen Tabelleneinträge sind Links. Sie können auf diese Links klicken, um die Statusseite anzuzeigen, die für diesen Tabelleneintrag gilt.

Alle Bytezählungen und Fehlerzahlen sammeln sich weiterhin an, selbst wenn ein HASH-Server (0x2e68218) neu gestartet oder eine VM neu gestartet oder migriert wird. Die Farbcodes folgen den gleichen Regeln wie die Farbcodes im Seitenbereich. Siehe Farbcodierte Symbole.

Globale Ebene

Auf globaler Ebene wird auf der Seite Status eine Tabelle angezeigt, in der alle Ressourcenpools mit den folgenden Informationen aufgeführt sind:

  • Ressourcenpool: Name des Ressourcenpools.
  • #Server: Anzahl der Server im Pool.
  • #Netzwerke: Anzahl der Netzwerke im Pool.
  • #VMs: Anzahl der VMs im Pool.
  • Status: Farbcodiertes Symbol, das den aktuellen Poolstatus anzeigt.

Durch Klicken auf das Zahnradsymbol auf der rechten Seite einer Zeile können Sie den Ressourcenpool ändern.

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Port-Konfigurationsrichtlinien angeben. Siehe Einrichten von Portkonfigurationsrichtlinien.

Ressourcenpoolebene

Für einen ausgewählten Ressourcenpool enthält die Seite Status die folgenden Informationen:

  • Status: Farbcodiertes Symbol, das den aktuellen Poolstatus anzeigt.
  • Poolmaster: IP-Adresse oder DNS-Name des Master-Servers im Pool.
  • Poolweite Netzwerke: Anzahl der Netzwerke im Pool.
  • HASH (0x2c1a078): Anzahl der Server im Pool.
  • Alle VMs: Anzahl der VMs im Pool.
  • Serverliste: Liste der Server im Pool, einschließlich Servername, Anzahl der Netzwerke, Anzahl der VMs und Status.

Zusätzlich zur Anzeige von Statusinformationen können Sie konfigurieren, wie die HASH-Server (0x2e68218) im Pool Netflow-Daten weiterleiten. Aktivieren Sie die folgenden Kontrollkästchen, und klicken Sie auf Netflow-Konfiguration speichern:

  • vSwitch Controller (standardmäßig ausgewählt): leitet Netflow-Informationen an den vSwitch Controller weiter, um sie durch den Abschnitt „Flow Statistics“ der GUI zu verwenden. Wenn Sie dieses Kontrollkästchen deaktivieren, werden die Netflow-Daten nicht an den vSwitch Controller gesendet, und auf den Seiten „Flow Statistics“ werden keine Daten angezeigt.
  • Externer Netflow-Controller: Ermöglicht das Weiterleiten von Netflow-Daten an einen externen Netflow-Kollektor eines Drittanbieters. Geben Sie die IP-Adresse des externen Kollektors ein.

Ausfallsicherer Modus

Verwenden Sie den Abschnitt Fehlermodus , um zu konfigurieren, wie ein vSwitch die Zugriffssteuerungsregeln erzwingt, wenn er keine Verbindung mit seinem vSwitch-Controller herstellen kann. Es ist wichtig, eine hohe Verfügbarkeit des vSwitch Controllers aufrechtzuerhalten, um Datenverluste zu vermeiden. In Zeiten, in denen der vSwitch Controller nicht verfügbar ist, gelten die folgenden Fehlermodi:

  • Fail-open: Der gesamte Datenverkehr ist erlaubt, zuvor definierte ACLs gelten erst dann, wenn der vSwitch wieder eine Verbindung mit dem vSwitch Controller herstellen kann.
  • Fail-safe: Vorhandene ACLs gelten weiterhin.

Im normalen Betrieb unterhält der vSwitch Verbindungen zu seinem konfigurierten vSwitch Controller, um Netzwerkverwaltungs- und Statusinformationen auszutauschen. Wenn der vSwitch Controller nicht verfügbar wird, wartet der vSwitch bis zu einem Zeitlimit für Inaktivität, bei dem der Netzwerkverkehr unterbrochen wird. Nach dem Inaktivitäts-Timeout wechselt der vSwitch in den konfigurierten Fehlermodus.

Im ausfallsicheren Modus werden vorhandene ACLs weiterhin angewendet, nachdem der vSwitch die Verbindung zum konfigurierten vSwitch Controller verliert. Datenverkehr, der nicht mit vorhandenen ACLs übereinstimmt, wird verweigert. Alle ACLs auf jeder Ebene der vom Controller dargestellten Richtlinienhierarchie werden als Regelgruppen für VIFs im vSwitch erzwungen. Daher können neue VIFs, die im ausfallsicheren Modus erscheinen, während der Controller nicht verfügbar ist, erst kommunizieren, wenn der Controller wieder verfügbar ist. Vorhandene VIFs, die nicht angeschlossen und dann neu gesteckt werden, haben dasselbe Verhalten wie neue VIFs. Diese Situation tritt auf, selbst wenn übergeordnete ACL-Richtlinienregeln (global, pro Ressourcenpool, pro Netzwerk oder pro VM) vorhanden sind, die Kommunikation auf vorhandenen VIFs zulassen. Darüber hinaus kann der vSwitch Controller ACLs basierend auf gelernten IP-Adressen definieren. Im ausfallsicheren Modus werden Pakete, die von einer VM mit einer IP-Adresse gesendet werden, die der Controller der VM nicht zugeordnet hat, bevor sie nicht verfügbar wurde, verweigert. Beispielsweise kann eine vorhandene VM, die eine neue IP-Adresse verwendet, nicht kommunizieren, bis der Controller wieder erreichbar ist. Weitere Beispiele für die Verweigerung des Datenverkehrs im ausfallsicheren Modus sind:

  • Neu eingesteckte VIFs
  • Eine neue VM
  • Eine migrierte VM (z. B. Live-Migration oder Workload Balancing)
  • VMs auf Hosts, die einem Pool hinzugefügt wurden
  • Anwendungen, die sich wie ein Router verhalten

Wenn der vSwitch im ausfallsicheren Modus neu gestartet wird und der Controller nach dem Start des vSwitch immer noch nicht verfügbar ist, gehen alle ACLs verloren und der gesamte Datenverkehr wird verweigert. Der vSwitch bleibt im ausfallsicheren Modus, bis eine Verbindung mit dem Controller wiederhergestellt wird und ACLs vom Controller zum vSwitch gedrückt werden.

Achtung:

Das Entfernen eines Ressourcenpools aus der vSwitch Controller-Verwaltung im ausfallsicheren Modus kann dazu führen, dass der vSwitch Netzwerkkonnektivität verliert und eine Notfall-Reset-Situation erzwungen wird. Um diese Situation zu vermeiden, entfernen Sie einen Ressourcenpool nur, wenn der Status grün ist.

Sie können auch verfügbare Ziel-VLANs für Port-Konfigurationsrichtlinien auf dieser Seite angeben. Weitere Informationen finden Sie unter Einrichten von Portkonfigurationsrichtlinien.

Serverebene

Für einen ausgewählten Server enthält die Seite Status die folgenden Informationen:

  • Serverstatus: Farbcodiertes Symbol, das den aktuellen Serverstatus anzeigt.
  • Servernetzwerke: Anzahl der Netzwerke im Ressourcenpool.
  • MAC-Adresse: MAC-Adresse der Server-Management-Schnittstelle.
  • IP-Adresse: IP-Adresse der Server-Management-Schnittstelle.
  • vSwitch-Version: Build- und Versionsnummer des vSwitches, der auf diesem HASH ausgeführt wird (0x2c1a078).
  • Servernetzwerke: Liste aller Netzwerke, die dem Server zugeordnet sind. Diese Informationen umfassen:
    • Die Anzahl der VMs auf dem Server, die dieses Netzwerk verwenden
    • Die zugehörige physikalische Schnittstelle,
    • Das VLAN
    • Die Anzahl der übertragenen und empfangenen Bytes
    • Die Anzahl der Fehler
    • Der Status
  • Server-VMs: Liste aller VMs, die dem Server zugeordnet sind. Für jede VIF auf der VM enthalten diese Informationen auch:
    • Die MAC-Adresse
    • Das Netzwerk
    • Die IP-Adresse
    • Die Gesamtzahl der seit dem Start der VM übertragenen und empfangenen Bytes
    • Der Status

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Port-Konfigurationsrichtlinien angeben. Siehe Einrichten von Portkonfigurationsrichtlinien.

Netzwerkebene

Auf der Registerkarte Status für poolweite Netzwerke werden zusammenfassende Informationen zu den einzelnen Netzwerken im Ressourcenpool aufgeführt. Auf der Registerkarte Status für ein einzelnes Netzwerk werden Informationen über das Netzwerk selbst aufgeführt. Die Registerkarte enthält Hyperlinks Tabellen mit Informationen zu den physischen Schnittstellen und VM-Schnittstellen, die derzeit mit dem Netzwerk verbunden sind.

Das Statussymbol kann in folgenden Farben angezeigt werden:

  • Grün, wenn das Netzwerk aktiv und ordnungsgemäß vom vSwitch Controller verwaltet wird
  • Rot, wenn das Netzwerk keine angeschlossenen Schnittstellen hat
  • Orange, wenn eine Fehlerbedingung vorliegt. Der zugehörige Text beschreibt den Fehler.

Für Pool-weite Netzwerke werden die folgenden Informationen angezeigt:

  • Netzwerkname: Spezifisches Netzwerk.
  • VMs: Anzahl der VMs, die dem Netzwerk zugeordnet sind.
  • HASH (0x2c1a078): Server für das Netzwerk.
  • Physische Schnittstelle: Serverschnittstelle für das Netzwerk.
  • Pakete übertragen (Tx) und empfangen (Rx): Aggregierte Leistungsindikatoren über alle VIFs im angegebenen Netzwerk.
  • Fehler: Aggregierte Leistungsindikatoren für alle VIFs im angegebenen Netzwerk.
  • Status: Farbcodiertes Symbol, das das aktuelle Netzwerk anzeigt.

Für ein ausgewähltes Netzwerk werden die folgenden Informationen angezeigt:

  • Netzwerkstatus: Farbcodiertes Symbol, das das aktuelle Netzwerk anzeigt.
  • VMs: Anzahl der VMs, die dem Netzwerk zugeordnet sind.
  • Physikalische Schnittstellen: Liste der physischen Schnittstellen, einschließlich VLAN, Anzahl der übertragenen und empfangenen Bytes, Fehler und Status.
  • Switching HASH (0x2c1a078) (nur in serverübergreifenden privaten Netzwerken vorhanden): Gibt den aktuellen aktiven Switching-Host für das Netzwerk an. Ein serverübergreifendes privates Netzwerk ermöglicht die Kommunikation zwischen VMs im gleichen Ressourcenpool, ohne dass eine zusätzliche Konfiguration des physischen Netzwerks erforderlich ist. Die VMs können auf verschiedenen Hosts ausgeführt werden. Diese Fähigkeit wird erreicht, indem ein „Switching-Host“ GRE Tunnel zu jedem der anderen Hosts im Pool einrichtet. Die GRE Tunnel sind in einer Sterntopologie aufgebaut. Die anderen Hosts verfügen über eine aktive VM, die im privaten Netzwerk ausgeführt wird. Wenn ein Switching-Host nicht verfügbar ist oder gelöscht wird, wird automatisch ein neuer Switching-Host ausgewählt und neue GRE-Tunnel konfiguriert. Networking/en-us/citrix-hypervisor/networking.html[()]Weitere Informationen zu serverübergreifenden privaten Netzwerken finden Sie unter.
  • VM-Schnittstellen: Liste der VMs, einschließlich MAC-Adresse, IP-Adresse, Anzahl der übertragenen und empfangenen Bytes und Status.

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Port-Konfigurationsrichtlinien angeben. Weitere Informationen finden Sie unter Einrichten von Portkonfigurationsrichtlinien.

Ebene der virtuellen Maschine (VM)

Die folgenden Informationen werden für alle VMs angezeigt:

  • VM-Name: Name der bestimmten VM.
  • MAC-Adresse: der VM zugewiesene MAC-Adresse.
  • Netzwerkname: Netzwerk, dem die VM zugewiesen ist.
  • Entdeckte IP-Adresse: der VM zugewiesene IP-Adressen.
  • Pakete übertragen (Tx) und empfangen (Rx): Aggregierte Leistungsindikatoren über alle VIFs auf der angegebenen VM.
  • Fehler: Aggregierte Leistungsindikatoren für alle VIFs auf der angegebenen VM.

Für eine ausgewählte VM werden auf der Seite Status die folgenden Informationen angezeigt:

  • Status: Farbcodiertes Symbol, das den aktuellen VM-Status anzeigt.
  • Ressourcenpool: Ressourcenpool, zu dem die VM gehört.
  • Servername: Name des Servers, dem die VM zugewiesen ist. Diese Informationen sind leer, wenn die VM nicht ausgeführt wird und nicht an einen bestimmten Server gebunden ist.
  • VM-Gruppenmitgliedschaft: Liste der administrativen Gruppen, denen die VM zugewiesen ist.
  • VM-Schnittstellen: Liste der VIFs auf der VM. Diese Informationen umfassen:
    • MAC-Adresse
    • Netzwerkname
    • Entdeckte IP-Adresse
    • Übertragen und Empfangen von Bytes, Paket- und Fehlerzahlen
    • Status
  • Netzwerkereignisse: Liste der Netzwerkereignisse, die die VM betreffen, einschließlich Priorität, Datum/Uhrzeit und Beschreibung.

Ebene der virtuellen Schnittstelle (VIF)

Für eine ausgewählte VIF enthält die Seite Status die folgenden Informationen:

  • Status: Farbcodiertes Symbol, das den aktuellen VIF-Status anzeigt.
  • Ressourcenpool: Ressourcenpool, zu dem das VIF gehört.
  • Netzwerk: Netzwerk, zu dem die VIF gehört.
  • VM-Name: VM, zu der die VIF gehört.
  • MAC-Adresse: MAC-Adresse der VIF.
  • IP-Adresse: IP-Adresse der VIF.
  • Übertragen und Empfangen von Bytes, Paketen und Fehlern: Traffic zählt für die VIF.
  • Switch-Port-ACL-Statistik: Im Gegensatz zu Sende- und Empfangszählungen handelt es sich bei den ACL-Trefferzahlen um momentane Statistiken, die aus den ACL-Regelstatistiken des aktuellen vSwitch gelesen werden. Aus diesem Grund werden Richtlinienänderungen und VM-Aktionen, z. B. Suspendierung, Herunterfahren oder Migration, diese Statistiken zurückgesetzt. Die vSwitch-ACL-Statistiken erfordern, dass eine IP-Adresse im Netzwerk identifiziert und Statistiken für IP-basierte Protokolle gesammelt werden können. Wenn Sie feststellen, dass IP-basierte Regeln nicht zählen, stellen Sie sicher, dass eine IP-Adresse im Feld IP-Adresse angezeigt wird.

Anzeigen von Flussstatistiken

Standardmäßig sendet der vSwitch auf jedem verwalteten HASH (0x2c1a078) Netflow-Daten an den vSwitch Controller, der diese Daten verwendet, um Flow Statistics Tabellen und Diagramme zu generieren. Der vSwitch generiert Netflow-Datensätze für alle IPv4-Flows nach fünf Sekunden ohne Aktivität oder 60 Sekunden Gesamtaktivität.

Die Datenrate eines Flusses wird als der gesamte Datenverkehr des Flusses dargestellt, der über die Dauer des Flusses gemittelt wird. Wenn beispielsweise ein Flow 10 Sekunden dauert, wobei 900 KB in der ersten Sekunde und 10 KB in jeder der neun verbleibenden Sekunden gesendet werden, werden die resultierenden Daten so dargestellt, als ob die Rate 100 KB/Sekunde für den gesamten Durchflussperiode wäre.

Netflow verwendet UDP-Datagramme, um NetFlow-Datensätze zwischen einem Switch und einem Collector zu transportieren (z. B. vSwitch-Controller). Da NetFlow UDP-Datagramme verwendet, kann der Collector normalerweise nicht wissen, warum ein NetFlow-Datensatz nicht empfangen wurde. Ausgelassene Datensätze können zu nicht-deterministischen Daten mit Flow Statistics Tabellen oder Diagrammen führen. Angenommen, ein Netzwerk, das 10 Flows pro Sekunde generiert, verfügt über eine einzelne 1 GB Dateiübertragung, die 10 Sekunden dauert. Das Netzwerk generiert insgesamt 202 Flows (100 Hping-Reize, 100 Hping-Antworten, 1 Dateiübertragungsstimulus und 1 Dateiübertragungsantwort). Wenn 50% der UDP-Datagramme gelöscht werden, besteht eine Wahrscheinlichkeit von 50/50, dass der Collector entweder 1 GB Daten oder 2 KB meldet.

Da jeder vSwitch in einem Pool Netflow-Datensätze generiert, führen Quellen und Ziele auf verschiedenen HASH-Servern (0x2e68218) zu zwei Datensätzen, wodurch die Statistiken verdoppelt werden.

Deaktivieren Sie die Flusssichtbarkeit in Bereitstellungen von mehr als 100 VMs, um eine Überlastung der virtuellen vSwitch Controller-Appliance und des Netzwerkes zu vermeiden, das zum Senden von NetFlow-Datensätzen verwendet wird.

Auf der Registerkarte „ Flussstatistik “ werden ein Diagramm und eine zugehörige Tabelle angezeigt, in der Flows für den ausgewählten Knoten angezeigt werden.

Ein Screenshot der Listen, die die im folgenden Abschnitt beschriebenen Optionen enthalten.

Verwenden Sie die Listen oben auf der Seite, um Folgendes anzugeben:

  • Richtung: Bidirektional, Inward, Outbound
  • Einheiten: Bytes, Bits, Pakete, Flows
  • Die oberen oder unteren Elemente (höchste oder niedrigste Werte) einer der folgenden Gruppierungen:
    • VMs: VMs, die sich im Ressourcenpool als Quellen/Ziele für den Datenverkehr befinden
    • IP-Adressen: IP-Adressen als Quelle oder Ziel für den Datenverkehr
    • Protokolle: IP-Protokollverkehr wie ICMP, TCP und UDP

      Hinweis:

      Ethernet-Layer-Protokolle (z. B. ARP) werden aufgrund der Beschränkungen des Netflow-Protokolls, das zum Generieren von Ergebnissen verwendet wird, nicht angezeigt.

    • Anwendung: Protokollverkehr auf Anwendungsebene, identifiziert durch TCP/UDP -Port oder ICMP-Typ/Code
  • Datenverkehr (nach Typ): VMs, IP-Adresse, Protokolle, Anwendungen (angezeigt nach Protokolltyp und Portnummer, diese Informationen können Sie den Dienst ableiten)
  • Zeitintervall.

In der Tabelle unterhalb des Diagramms werden einige oder alle der folgenden Informationen angezeigt, abhängig vom Typ des in der Liste ausgewählten Elements:

  • VM
  • IP
  • Eingehende Bytes
  • Eingehende Datenrate (KBit/s)
  • Ausgehende Bytes
  • Ausgehende Datenrate (KBit/s)
  • Bytes insgesamt
  • Gesamtdatenrate (bps)

Wenn NetFlow nicht an den vSwitch Controller weitergeleitet wird, wird auf der Registerkarte „Flussstatistik“ ein warnblauer Statustext angezeigt:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

Um die Weiterleitung neu zu konfigurieren, klicken Sie auf den blauen Statustext, um eine Liste der Ressourcenpools anzuzeigen. Wählen Sie den gewünschten Ressourcenpool aus der Liste aus, um zur Poolstatusseite zu navigieren. Auf der Statusseite können Sie die NetFlow-Datenweiterleitung konfigurieren.

Verwalten von Adressengruppen

Sie können Adressgruppen einrichten, um die IP-Adressen anzugeben, die als Quelle oder Ziel für ACLs und für das Reporting von Flussstatistiken verwendet werden sollen.

So fügen Sie eine Adressgruppe hinzu:

  1. Wählen Sie unter Sichtbarkeit und Kontrollein der Ressourcenstruktur (Seitenbereich) die Option Adressgruppenaus, um die Statusseite für alle Adressgruppen zu öffnen.
  2. Klicken Sie auf Gruppe erstellen.
  3. Geben Sie den Namen zur Identifizierung der Gruppe und eine optionale Beschreibung ein.
  4. Klicken Sie auf Gruppe erstellen. Die neue Gruppe wird der Liste der Adressengruppen hinzugefügt.
  5. Wählen Sie die neue Gruppe im Ressourcenbaum aus, um die Seite Status zu öffnen.
  6. Klicken Sie auf die Schaltfläche Mitglieder hinzufügen .
  7. Geben Sie im Popup-Fenster eine oder mehrere IP-Adressen oder Subnetze (durch Kommas getrennt) an. Beispiel: 192.168.12.5, 192.168.1.0/24
  8. Klicken Sie auf Hinzufügen. Fügen Sie nach Bedarf weitere Netzwerke hinzu. Jeder Adressensatz wird als Knoten unter dem Netzwerk in der Liste Adressgruppen hinzugefügt.

Die neue Adressgruppe ist jetzt für ACL-Richtlinien und Flussstatistiken verfügbar.

Sie können eine vorhandene Adressgruppe entfernen, indem Sie in der Zeile der Gruppe Alle Adressgruppen für diese Adressgruppe auf den Link Entfernen klicken.

Sie können auch den Namen oder die Beschreibung von und die Adressgruppe aktualisieren:

  1. Wählen Sie die neue Gruppe im Ressourcenbaum aus, um die Seite Status zu öffnen.
  2. Klicken Sie auf die Schaltfläche Gruppe ändern .
  3. Ändern Sie in dem sich öffnenden Dialog den Namen und die Beschreibung.
  4. Klicken Sie auf die Schaltfläche Gruppe ändern , um die Änderungen zu speichern.

Verwalten von Gruppen virtueller Computer

Eine VM-Gruppe ist eine Gruppe von VMs, die Sie als Gruppe für die Anzeige von Status- und Flussstatistiken identifizieren. Jede VM in einer VM-Gruppe muss sich bereits in einem Ressourcenpool befinden. Die Gruppen sind ansonsten unabhängig von Ressourcenpools und Servern.

So fügen Sie eine VM-Gruppe hinzu:

  1. Wählen Sie unter Sichtbarkeit und Kontrollein der Ressourcenstruktur (Seitenbereich) die Option VM-Gruppenaus, um die Statusseite für alle VM-Gruppen zu öffnen.
  2. Klicken Sie auf die Schaltfläche Gruppe erstellen.
  3. Geben Sie den Namen zur Identifizierung der Gruppe und eine optionale Beschreibung ein.
  4. Klicken Sie auf Gruppe erstellen. Die neue Gruppe wird der Liste der VM-Gruppen hinzugefügt.
  5. Wählen Sie die neue Gruppe im Ressourcenbaum aus, um die Seite Status zu öffnen.
  6. Klicken Sie auf Mitglied hinzufügen.
  7. Wählen Sie im Popup-Fenster die VM aus der Liste aus.
  8. Klicken Sie auf Hinzufügen. Fügen Sie nach Bedarf weitere VMs hinzu. Jede VM wird als Unterknoten unter der Gruppe in der Liste VM-Gruppen hinzugefügt.

Für jede VM-Gruppe stehen die folgenden Rechtsklick-Optionen zur Verfügung:

  • VM zur Gruppe hinzufügen: Fügen Sie ein neues Gruppenmitglied hinzu.
  • Name/Beschreibung ändern: Ändern Sie den Namen oder die Beschreibung.
  • Gruppe entfernen: Löschen Sie die Gruppe.

Konfigurationshierarchie der DVS-Richtlinie

Verwenden Sie die Registerkarten Zugriffssteuerung und Port-Konfiguration in Sichtbarkeit und Kontrolle , um Zugriffssteuerungsrichtlinien, QoS und Datenspiegelungsrichtlinien in der virtuellen Netzwerkumgebung zu konfigurieren. Während alle Richtlinien auf VIF-Ebene angewendet werden, stellt vSwitch Controller ein hierarchisches Richtlinienmodell zur Verfügung, das das Deklarieren von Standardrichtlinien für eine Sammlung von VIFs unterstützt. Der vSwitch-Controller bietet auch eine Möglichkeit, diese Standardrichtlinie zu überschreiben, indem bei Bedarf feinkörnige Ausnahmen erstellt werden. Beispielsweise können Sie eine bestimmte VM von der standardmäßigen Ressourcenpoolrichtlinie ausnehmen.

Ähnlich wie die in der Ressourcenstruktur verwendete Hierarchie weist die Richtlinienhierarchie folgende Ebenen auf:

  • Global (allgemeinste Ebene): Enthält alle VIFs in allen Ressourcenpools.
  • Ressourcenpools: Alle VIFs in einem bestimmten Ressourcenpool.
  • Netzwerke: Alle VIFs, die an ein bestimmtes Netzwerk angeschlossen sind.
  • VMs: Alle VIFs, die an eine bestimmte VM angeschlossen sind
  • VIFs (spezifischste Stufe): Ein einziges VIF.

Hinweis:

HASH-Server (0x2e68218) sind nicht in der Richtlinienhierarchie enthalten, da Richtlinien unabhängig davon gelten müssen, welcher HASH (0x2c1a078) in einem Ressourcenpool eine VM ausführt.

Einrichten von Zugriffssteuerungsrichtlinien

Wählen Sie die Registerkarte Zugriffssteuerung , um Richtlinien einzurichten, die VM-Datenverkehr basierend auf Paketattributen zulassen oder verweigern.

Eine ACL-Richtlinie besteht aus einem Satz von Regeln, von denen jede Folgendes umfasst:

  • Aktion: Angabe, ob der mit der Regel übereinstimmende Datenverkehr zulässig ist (Zulassen) oder gelöscht (Verweigern).
  • Protokoll: Netzwerkprotokoll, für das die Regel gilt. Sie können die Regel auf alle Protokolle anwenden (Beliebig), aus einer vorhandenen Protokollliste auswählen oder ein neues Protokoll angeben.
  • Richtung: Verkehrsrichtung, für die die Regel gilt. Lesen Sie den Text der Regeln von links nach rechts: „to“ bedeutet Datenverkehr, der von der VM ausgehend ist, während „von“ Datenverkehr, der an die VM eingeht.
  • Remote-Adressen: Gibt an, ob die Regel auf den Datenverkehr zu/von einem bestimmten Satz von Remote-IP-Adressen beschränkt ist.

Die Verwaltung von ACL-Richtlinien folgt eng der Ressourcen-Baumhierarchie. Sie können Richtlinien auf jeder unterstützten Ebene der Hierarchie angeben. Auf jeder Ebene sind die Regeln wie folgt organisiert:

  • Obligatorische Regeln: Diese Regeln werden vor allen untergeordneten Richtlinienregeln ausgewertet. Die einzigen Regeln, die Vorrang vor ihnen haben, sind zwingende Regeln von übergeordneten (weniger spezifischen) Richtlinien. Obligatorische Regeln werden verwendet, um Regeln anzugeben, die untergeordnete (spezifischere) Richtlinien nicht außer Kraft setzen können.
  • Untergeordnete Regeln: Der Platzhalter für untergeordnete Richtlinien gibt den Speicherort in der Regelreihenfolge an, in der Regeln in untergeordneten Richtlinien ausgewertet werden. Es teilt die obligatorischen Regeln von den Standardregeln.
  • Standardregeln: Diese Regeln werden zuletzt ausgewertet, nach allen obligatorischen Regeln und allen Standardregeln für untergeordnete Richtlinien. Sie haben nur Vorrang vor den Standardregeln übergeordneter Richtlinien. Sie werden verwendet, um Verhalten anzugeben, das nur angewendet wird, wenn eine spezifischere untergeordnete Richtlinie kein widersprüchliches Verhalten angibt.

Die Registerkarte **Zugriffssteuerung** für eine VIF.

Regeln der globalen Zugriffssteuerungsliste (ACL)

Um globale ACL-Regeln einzurichten, klicken Sie in der Ressourcenstruktur auf Alle Ressourcenpools . Auf der Seite werden alle ACL-Regeln aufgeführt, die auf globaler Ebene definiert sind.

Regeln der Zugriffssteuerungsliste (Access Control List, ACL)

Um ACL-Regeln für einen Ressourcenpool einzurichten, wählen Sie den Ressourcenpool in der Ressourcenstruktur aus.

Die Seite zeigt eine erweiterbare Leiste für globale Richtlinien und einen erweiterten Bereich für Ressourcenpoolregeln. Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die Ressourcenpoolregeln in das globale Richtlinienframework eingebettet sind.

ACL-Regeln (Network Access Control List)

Um ACL-Regeln auf Netzwerkebene einzurichten, klicken Sie in der Ressourcenstruktur auf das Netzwerk.

Die Seite zeigt Folgendes:

  • Ein erweiterbarer Balken für globale Regeln
  • Eine erweiterbare Leiste für den Ressourcenpool, zu dem das Netzwerk gehört
  • Ein erweiterter Bereich für Netzwerkregeln

Wenn Sie auf Alle erweiternklicken, können Sie sehen, wie die Netzwerkrichtlinien in das Ressourcenrichtlinienframework und in das globale Richtlinienframework eingebettet sind.

Regeln der virtuellen Zugriffssteuerungsliste (ACL)

Um Richtlinien auf VM-Ebene einzurichten, klicken Sie in der Ressourcenstruktur auf die VM.

Die Seite zeigt Folgendes:

  • Ein erweiterbarer Balken für globale Regeln
  • Erweiterbare Balken für den Ressourcenpool und das Netzwerk, zu dem die VM gehört
  • Ein erweiterter Bereich für VM-Regeln

Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die VM-Regeln in das Netzwerk, den Ressourcenpool und das globale Framework eingebettet sind.

Wenn eine VM VIFs in mehreren Netzwerken enthält, wird auf der rechten Seite der Beispielleiste für das Netzwerk ein Link „Netzwerk ändern“ angezeigt. Mit diesem Link können Sie die Regeln für jede Richtlinie auf Netzwerkebene anzeigen, die möglicherweise für eine VIF auf dieser VM gelten.

Regeln der VIF-Zugriffssteuerungsliste (ACL)

Um Richtlinien auf VIF-Ebene einzurichten, klicken Sie in der Ressourcenstruktur auf das VIF. Da Richtlinien nur auf VIF-Ebene verpackt und angewendet werden, müssen Sie die VIF-Seiten anzeigen, um den vollständigen Richtlinienkontext anzuzeigen.

Die Seite zeigt Folgendes:

  • Erweiterbare Balken für globale Regeln
  • Erweiterbare Balken für den Ressourcenpool, das Netzwerk und die VM, zu der die VIF gehört
  • Ein erweiterter Bereich für VIF-Regeln

Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die VIF-Regeln in die VM, das Netzwerk, den Ressourcenpool und das globale Framework eingebettet sind.

Zugriffssteuerungsliste (ACL) -Regel Erzwingungsreihenfolge

ACLs können zwar auf verschiedenen Ebenen der Richtlinienkonfigurationshierarchie definiert werden, ACLs werden jedoch auf VIF-Basis erzwungen. Für die tatsächliche Erzwingung wird die Hierarchie in der in diesem Abschnitt beschriebenen Reihenfolge zusammengefasst und auf jedes VIF angewendet. Wenn Sie die aktuell angewendeten Regeln für eine VIF und die zugehörigen Statistiken anzeigen möchten, wählen Sie die VIF in der Ressourcenstruktur aus. Zeigen Sie die ACL-Liste auf der Registerkarte Status an.

Der Vollstreckungsbefehl lautet wie folgt:

  1. Obligatorische Regeln auf globaler Ebene
  2. Obligatorische Regeln für den Ressourcenpool mit dem VIF
  3. Obligatorische Regeln für das Netzwerk, das das VIF enthält
  4. Obligatorische Regeln für die VM, die die VIF enthält
  5. Regeln für das VIF, das das VIF enthält
  6. Standardregeln für die VM, die die VIF enthält
  7. Standardregeln für das Netzwerk, das das VIF enthält
  8. Standardregeln für den Ressourcenpool, der das VIF enthält
  9. Standardregeln für die globale, die die VIF enthält

Die erste Regel, die übereinstimmt, wird ausgeführt, und es werden keine weiteren Regeln ausgewertet.

Hinweis:

Wenn ein vSwitch-Controller nicht verfügbar ist, erzwingt der Ressourcenpool Zugriffssteuerungsregeln basierend auf dem konfigurierten Fehlermodus. Weitere Informationen zum Fehlermodus eines Ressourcenpools finden Sie im Abschnitt „Ressourcenpoolebene“ unter „Status anzeigen“.

Definieren von Zugriffssteuerungslisten (ACL) Regeln

Um eine neue ACL-Regel zu definieren, wählen Sie im Ressourcenbaum den Knoten auf der entsprechenden Ebene in der Richtlinienkonfigurationshierarchie aus. Sie können Regeln auf jeder Ebene für diese und für höhere Ebenen hinzufügen. Wenn Sie beispielsweise einen Ressourcenpool auswählen, können Sie Regeln für diesen Ressourcenpool und globale Regeln hinzufügen.

Wenn Sie einen Ressourcenstrukturknoten auswählen, der keiner Ebene in der Richtlinienkonfigurationshierarchie entspricht, wird eine Meldung angezeigt. Die Nachricht enthält Links zum Auswählen einer anderen Ebene.

Neue Regeln können auf folgende Weise hinzugefügt werden:

  • Um eine verbindliche Regel hinzuzufügen, klicken Sie auf das Zahnradsymbol in der Kopfzeile der Ebene und wählen Sie Neue obligatorische ACL hinzufügen.
  • Um eine Standardregel hinzuzufügen, klicken Sie auf das Zahnradsymbol in der Kopfzeile der Ebene und wählen Sie Neue Standard-ACL hinzufügen.
  • Um eine Regel über einem vorhandenen Regeleintrag hinzuzufügen, klicken Sie auf das Zahnradsymbol für den Eintrag und wählen Sie „ Neue ACL hinzufügen„.
  • Um eine Regel unter einem vorhandenen Regeleintrag hinzuzufügen, klicken Sie auf das Zahnradsymbol für den Eintrag und wählen Sie „ Neue ACL hinzufügen„.

Die neue Regel wird der Seite mit den folgenden Standardeinstellungen hinzugefügt:

  • Aktion: Zulassen
  • Protokoll: Any
  • Richtung: Hin/Von
  • Remote-Adressen: Beliebig
  • Beschreibung: None

Um ein bestimmtes Feld innerhalb einer Regel zu ändern, klicken Sie auf den Link, der den aktuellen Feldwert darstellt, und wenden Sie die Änderungen an, wie in der folgenden Liste beschrieben. Wenn Sie eine Änderung anwenden, wird die Regel aktualisiert, um die Werte anzuzeigen.

  • Aktion: Klicken Sie auf den Link und wählen Sie Aktion zu verweigernändern oder Aktion ändern, die zulässig ist.
  • Protokoll: Klicken Sie auf und wählen Sie eine der folgenden Optionen:
    • Wählen Sie „ Beliebiges Protokoll zuordnen”, um die Regel auf alle Protokolle anzuwenden.
    • Wählen Sie Vorhandenes Protokoll verwenden , um ein Protokoll anzugeben. Wählen Sie das Protokoll aus der Liste aus, und klicken Sie auf Protokoll verwenden.
    • Wählen Sie Neues Protokoll verwenden , um benutzerdefinierte Protokolleigenschaften anzugeben. Geben Sie die folgenden Informationen im Popup-Fenster an, und klicken Sie auf Speichern und verwenden:
      • Ethertype: Wählen Sie IP oder geben Sie einen anderen Ethertype ein.
      • IP-Protokoll: Wählen Sie eines der aufgelisteten Protokolle aus, oder geben Sie ein anderes ein.
      • Zielport (nur TCP/UDP): Geben Sie eine Portnummer ein, oder geben Sie Anyan.
      • Quellport (nur TCP/UDP): Geben Sie eine Portnummer ein, oder geben Sie Anyan. Wenn Sie eine Anwendung definieren, die einen bekannten Serverport verwendet, müssen Sie diesen bekannten Port als Zielport definieren und den Quellport als Beliebigbelassen. Sie können diesen Ansatz beispielsweise für HTTP verwenden, der Port 80 verwendet.
      • ICMP-Typ (nur ICMP): Wählen Sie „ Beliebig “, oder geben Sie einen bestimmten ICMP-Typ ein.
      • ICMP-Code (nur ICMP): Wählen Sie „ Beliebig “, oder geben Sie einen bestimmten ICMP-Code ein.
      • Antwortdatenverkehr abgleichen: Geben Sie an, ob der Rückgabeverkehr automatisch als Teil der Regel zulässig ist. Wenn die Regel beispielsweise UDP-Zielport 7777 Datenverkehr von der VM zu einer angegebenen Remoteadresse zulässt und Antwortdatenverkehr abgleichen ausgewählt ist, ist UDP-Datenverkehr auch vom Quellport 7777 der Remoteadresse an die VM zulässig. Aktivieren Sie diese Option für jedes UDP-Protokoll, das eine bidirektionale Kommunikation erfordert (die Option ist immer für TCP aktiviert).
      • Einmalige Verwendung im Vergleich zu Mehrere Verwendungen: Wählen Sie aus, ob dieses Protokoll nur für die aktuelle Regel verwendet werden soll oder es zur Liste der Protokolle im Protokollmenü hinzugefügt werden soll.
    • Wählen Sie Aktuelles Protokoll anzeigen/ändern , um Merkmale für ein bereits definiertes Protokoll zu ändern.
  • Richtung: Legen Sie fest, ob die Regel von oder auf die angegebenen Remoteadressen oder beides angewendet wird.
  • Remote-Adressen: So legen Sie die Remote-Adressen fest:
    1. Klicken Sie auf den Link Beliebig , um ein Popup-Fenster zu öffnen, in dem die verfügbaren Adressgruppen aufgeführt sind.
    2. Wählen Sie eine oder mehrere Adressgruppen aus, und verschieben Sie sie mithilfe der Pfeile in die Spalte Ausgewählt .
    3. Verwenden Sie die Schaltflächen Alle , um alle Gruppen auszuwählen oder aufzuheben.
    4. Wenn Sie eine IP-Adresse oder ein Subnetz angeben möchten, das nicht zu einer vorhandenen Adressgruppe gehört, geben Sie die Adresse oder das Subnetz ein (x.x.x.x oder x.x.x.x/n). Klicken Sie auf Hinzufügen. Wiederholen Sie den Vorgang, um weitere Adressen hinzuzufügen.
    5. Klicken Sie auf Fertig.
  • Beschreibung: So fügen Sie eine Textbeschreibung der Regel hinzu:
    1. Klicken Sie auf die Schaltfläche Beschreibung .
    2. Klicken Sie auf den Eintrag (<Ohne> wenn keine aktuelle Beschreibung vorhanden ist). Ein Texteingabefeld wird angezeigt. Geben Sie den Text ein und drücken Sie Eintreten.
  • Regeldetails: Klicken Sie auf die Schaltfläche Regeldetails , um eine kurze Zusammenfassung der Regel anzuzeigen.

Klicken Sie auf Richtlinienänderungen speichern , um die neuen Regeln anzuwenden. Wenn Sie dies tun, werden die Änderungen sofort in der virtuellen Netzwerkumgebung wirksam. Wenn Sie die Regeln noch nicht gespeichert haben, können Sie auf Änderungen rückgängig machen klicken, um die benannten Änderungen rückgängig zu machen.

Wenn Sie eine ACL ändern, werden alle Hintergrundaktualisierungen für die vSwitch Controller GUI angehalten. Wenn ein anderer Administrator die Richtlinie gleichzeitig ändert und Änderungen vor Ihnen festlegt, aktualisieren Sie die Seite, um die neue Richtlinie vom Server abzurufen. Geben Sie Ihre Änderungen erneut ein.

Sie können die Reihenfolge der Regeln in einer Ebene ändern, indem Sie auf das Zahnradsymbol für die Regel klicken und die Option Nach obenoder Nach unten wählen. Sie können eine Regel nicht zwischen Ebenen in der Hierarchie verschieben. Um eine Regel zu entfernen, klicken Sie auf das Zahnradsymbol und wählen Sie Löschen. Klicken Sie auf die Schaltfläche Beschreibung , um die ACL-Beschreibung anzuzeigen. Oder die Schaltfläche Regel , um die ACL-Regel anzuzeigen, die Sie erstellt haben.

ACL-Regeln werden immer aus der Sicht der virtuellen Schnittstelle der VM interpretiert, selbst wenn sie in der Richtlinienhierarchie höher konfiguriert sind. Dieses Verhalten ist wichtig, wenn Sie über die Bedeutung des Feldes Remoteadressen in den Regeln nachdenken.

Wenn beispielsweise eine VM in einem Pool die IP-Adresse 10.1.1.1 aufweist, können Sie eine Regel für den Pool erwarten, die „Alle Protokolle zu IP 10.1.1.1 verweigern“ angibt, um zu verhindern, dass Datenverkehr auf die VM gelangt. Dieses Verhalten ist für alle anderen VMs im Ressourcenpool der Fall, da jede VM die Regel erzwingt, wenn die VM überträgt. Computer, die außerhalb des Ressourcenpools sind, können jedoch mit der VM mit der IP-Adresse 10.1.1.1 kommunizieren. Dieses Verhalten liegt daran, dass keine Regeln das Übertragungsverhalten der externen Maschinen steuern. Es liegt auch daran, dass die VIF der VM mit der IP-Adresse 10.1.1.1 eine Regel aufweist, die den Übertragungsverkehr mit dieser Adresse abbricht. Die Regel löscht jedoch keinen Empfangsverkehr mit dieser Adresse.

Wenn das Richtlinienverhalten unerwartet ist, zeigen Sie die Registerkarte Status für die virtuelle Schnittstelle an, auf der der gesamte Regelsatz aller Richtlinienebenen visualisiert wird.

Einrichten von Portkonfigurationsrichtlinien

Verwenden Sie die Registerkarte Port-Konfiguration , um Richtlinien zu konfigurieren, die für die VIF-Ports gelten. Folgende Richtlinientypen werden unterstützt:

  • QoS: QoS-Richtlinien (Quality of Service) steuern die maximale Übertragungsrate für eine VM, die an einen DVS-Anschluss angeschlossen ist.
  • Datenverkehrsspiegelung: RSPAN-Richtlinien (Remote Switched Port Analyzer) unterstützen die Spiegelung des Datenverkehrs, der auf einem VIF gesendet oder empfangen wird, an ein VLAN zur Unterstützung von Anwendungen zur Überwachung des Datenverkehrs gesendet oder empfangen wird.
  • MAC-Adressenspoofprüfung deaktivieren: Die Richtlinien zur Überprüfung der MAC-Adresse steuern, ob die MAC-Adressenerzwingung bei Datenverkehr ausgeführt wird, der von einer VIF ausgehend ist. Wenn der vSwitch Controller ein Paket mit einer unbekannten MAC-Adresse von einer VIF erkennt, löscht er das Paket und den gesamten nachfolgenden Datenverkehr aus der VIF. Die Richtlinien für die Überprüfung der MAC-Adresse sind standardmäßig aktiviert. Deaktivieren Sie diese Richtlinien auf VIFs, auf denen Software wie der Netzwerklastenausgleich auf Microsoft Windows-Servern ausgeführt wird.

Achtung:

Die Aktivierung von RSPAN ohne korrekte Konfiguration Ihres physischen und virtuellen Netzwerks kann zu schwerwiegenden Netzwerkausfällen führen. Lesen Sie die Anweisungen inKonfigurieren von RSPANsorgfältig durch, bevor Sie diese Funktion aktivieren.

Sie können QoS- und Datenverkehrsspiegelungs-Portrichtlinien auf globalen Ebenen, Ressourcenpools, Netzwerk-, VM- und VIF-Ebenen konfigurieren. Wenn Sie einen Knoten in der Ressourcenstruktur auswählen und die Registerkarte Port-Konfiguration wählen, wird die Konfiguration für jede übergeordnete Ebene in der Hierarchie angezeigt. Es kann jedoch nur die Konfiguration auf der ausgewählten Richtlinienebene geändert werden. Wenn Sie beispielsweise eine VM auswählen, werden auf der Registerkarte Port-Konfiguration die Werte angezeigt, die auf globaler Ebene, Ressourcenpool und Netzwerkebene konfiguriert sind. Auf der Registerkarte können Sie den Wert auf VM-Ebene ändern.

QoS und Traffic Mirroring Konfigurationen auf einer bestimmten Ebene überschreiben die Konfigurationen auf den höheren Ebenen. Wenn eine Konfiguration außer Kraft gesetzt wird, wird auf der Registerkarte Port-Konfiguration die übergeordnete Konfiguration angezeigt. Die nächste Abbildung zeigt beispielsweise eine QoS-Konfiguration auf Netzwerkebene, die die Konfiguration auf Ressourcenpoolebene außer Kraft setzt.

Screenshot der Registerkarte **Port-Konfiguration** .

Um Port-Richtlinien zu konfigurieren, wählen Sie den Knoten in der Ressourcenstruktur und wählen Sie die Registerkarte Port-Konfiguration . Wenn Sie einen Knoten auswählen, der keine Portkonfigurationsrichtlinien unterstützt, wird eine Meldung mit Links zu Knoten angezeigt, die die Portkonfiguration unterstützen.

QoS konfigurieren

Wählen Sie für QoS-Richtlinien eine der folgenden Optionen aus:

  • QoS-Richtlinie vom übergeordneten Element erben (Standard): Wendet die Richtlinie von der höheren (d. h. weniger spezifischen) Hierarchieebene an. Diese Option ist auf globaler Ebene nicht vorhanden.
  • Geerbte QoS-Richtlinie deaktivieren: Ignoriert alle Richtlinien, die auf höheren Ebenen (d. h. weniger spezifische) festgelegt sind, so dass alle in dieser Richtlinienebene enthaltenen VIFs keine QoS-Konfiguration haben.
  • QoS-Limit anwenden: Wählen Sie ein Satzlimit (mit Einheiten) und eine AufBurstgröße (mit Einheiten) aus. Der Datenverkehr zu allen in dieser Richtlinienebene enthaltenen VIFs ist auf die angegebene Rate beschränkt, wobei einzelne Bursts auf die angegebene Anzahl von Paketen beschränkt sind.

Achtung:

Wenn Sie eine zu kleine Burstgröße relativ zur Rate Limit festlegen, kann eine VIF daran hindern, genügend Datenverkehr zu senden, um die Rate Limit zu erreichen. Dieses Verhalten ist besonders wahrscheinlich für Protokolle, die Überlastungssteuerung wie TCP ausführen.

Die Burstrate muss mindestens größer sein als die MTU (Maximum Transmission Unit) des lokalen Netzwerks.

Wenn QoS auf einer beliebigen Schnittstelle, auf der der vSwitch Controller sitzt, auf einer unangemessen niedrigen Burstrate eingestellt wird, kann die gesamte Kommunikation mit dem vSwitch Controller verloren gehen. Dieser Kommunikationsverlust erzwingt eine Notfall-Reset-Situation.

Um zu verhindern, dass geerbte Erzwingung stattfindet, deaktivieren Sie die QoS-Richtlinie auf VM-Ebene.

Klicken Sie auf Port-Konfigurationsänderungen speichern , um die Änderungen zu implementieren, oder klicken Sie auf Änderungen rückgängig , um nicht gespeicherte Änderungen zu entfernen. Die Richtlinie wird unmittelbar nach dem Speichern wirksam.

Konfigurieren von RSPAN

Achtung:

Die Konfiguration von RSPAN, wenn der Server mit einem Switch verbunden ist, der VLANs nicht versteht oder nicht ordnungsgemäß für die Unterstützung des RSPAN-VLAN konfiguriert ist, kann zu Datenduplizierung und Netzwerkausfällen führen. Überprüfen Sie die Dokumentation und Konfiguration Ihrer physischen Switches, bevor Sie die RSPAN-Funktion aktivieren. Diese Überprüfung ist besonders wichtig auf höheren Ebenen der Hierarchie, wo mehrere physische Switches beteiligt sein könnten.

Für die Aktivierung von RSPAN sind eine Reihe von Schritten erforderlich, die im Folgenden beschrieben werden:

Identifizieren Sie Ihr RSPAN VLAN

Wenn RSPAN für eine VIF aktiviert ist, erstellt der vSwitch für diese VIF eine Kopie jedes an oder von dieser VIF gesendeten Pakets. Der vSwitch überträgt die Kopie dieses Pakets, das mit dem VLAN-Wert als Ziel-VLAN gekennzeichnet ist. Ein Administrator platziert dann einen Host, der die Überwachung durchführt, auf dem Switch-Port, der für die Verwendung des Ziel-VLAN konfiguriert ist. Wenn die Überwachungshostschnittstelle den Promiscuous-Modus verwendet, kann sie den gesamten Datenverkehr sehen, der an und von den VIFs gesendet wird, die für die Verwendung von RSPAN konfiguriert sind.

Konfigurieren des physischen Netzwerks mit dem Ziel-VLAN

Es ist wichtig, das physische Netzwerk korrekt zu konfigurieren, um den RSPAN-Datenverkehr zu kennen, um Netzwerkausfälle zu vermeiden. Aktivieren Sie RSPAN nur, wenn die physische Switching-Infrastruktur, die alle RSPAN-fähigen VIFs verbindet, so konfiguriert werden kann, dass das Lernen im Ziel-VLAN deaktiviert wird. Weitere Informationen finden Sie in der Dokumentation Ihres Switch-Herstellers.

Darüber hinaus muss der über das Ziel-VLAN gesendete Datenverkehr von jedem der vSwitches an die Überwachungshosts weitergeleitet werden. Wenn Ihre physische Infrastruktur viele Switches in einer Hierarchie enthält, muss bei dieser Weiterleitung das Ziel-VLAN zwischen den verschiedenen Switches gekürzt werden. Weitere Informationen finden Sie in der Dokumentation Ihres Switch-Herstellers.

Konfigurieren von vSwitch Controller mit dem Ziel-VLAN

Informieren Sie den vSwitch Controller über jedes Ziel-VLAN, bevor Sie diese VLAN-ID für die RSPAN-Port-Konfiguration verwenden. Sie können verfügbare Ziel-VLAN-IDs auf Ressourcenpool-, Netzwerk- oder Serverebene angeben. Ziel-VLANs, die auf einer Ebene der Hierarchie hinzugefügt wurden, sind verfügbar, wenn die RSPAN-Port-Konfiguration auf dieser Ebene und auf allen unteren Ebenen der Hierarchie konfiguriert wird. Die richtige Ebene zum Angeben eines Ziel-VLAN hängt davon ab, wie weit Sie Ihre physische Infrastruktur so konfiguriert haben, dass dieses Ziel-VLAN erkannt wird.

So geben Sie verfügbare Ziel-VLANs an:

  1. Öffnen Sie unter Sichtbarkeit und Kontrolledie Registerkarte Statusfür alle Ressourcenpools, einen bestimmten Ressourcenpool, einen bestimmten Server oder ein bestimmtes Netzwerk.
  2. Klicken Sie im Bereich RSPAN-Ziel-VLAN-IDs auf + , und geben Sie die VLAN-ID ein.
  3. Wiederholen Sie den Vorgang, um weitere VLAN-IDs hinzuzufügen.
  4. Klicken Sie auf Ziel-VLAN-Änderung speichern.

Die VLANs stehen nun auf der Registerkarte Port-Konfiguration zur Auswahl, wie in diesem Abschnitt beschrieben.

Ändern der Portkonfiguration, um RSPAN für einen Satz von VIFs zu aktivieren

Um RSPAN-Richtlinien auf der Registerkarte Port-Konfiguration zu konfigurieren, wählen Sie den entsprechenden Knoten in der Ressourcenstruktur aus, und wählen Sie eine der folgenden Optionen aus:

  • RSPAN-Richtlinie vom übergeordneten Element erben (Standard): Wendet die Richtlinie von der nächsthöheren (d. h. weniger spezifischen) Hierarchieebene an.
  • Geerbte RSPAN-Richtlinie deaktivieren: Ignoriert alle Richtlinien, die auf höheren Ebenen (d. h. weniger spezifische) festgelegt sind, so dass alle in dieser Richtlinienebene enthaltenen VIFs keine RSPAN-Konfiguration haben.
  • RSPAN-Datenverkehr auf VLAN: Wählen Sie ein VLAN aus der Liste der Ziel-VLANs aus. Die einzigen Ziel-VLANs, die in der Liste angezeigt werden, sind die VLANs, die für Richtlinienebenen konfiguriert sind, die den aktuell ausgewählten Knoten enthalten.

Konfigurieren der Überprüfung des MAC-Adressspoofs

Um die MAC-Adressenerzwingung zu deaktivieren, wählen Sie die MAC-Adressenspoofprüfung aus. Die Erzwingung kann nur auf VIF-Basis konfiguriert werden und übergeordnete Konfigurationen werden nicht übernommen oder außer Kraft gesetzt.

Änderungen speichern

Klicken Sie auf Port-Konfigurationsänderungen speichern, um die Änderungen zu implementieren, oder klicken Sie auf Änderungen rückgängig , um nicht gespeicherte Änderungen zu entfernen. Die Richtlinie wird unmittelbar nach dem Speichern wirksam.