Sichtbarkeit und Kontrolle virtueller Netzwerke

Im Abschnitt Sichtbarkeit und Kontrolle können Sie das Netzwerkverhalten überwachen und die Netzwerkrichtlinie konfigurieren. Um auf die Seiten zuzugreifen, wählen Sie oben auf der vSwitch Controller-Schnittstelle das Symbol Sichtbarkeit und Steuerung aus.

Status anzeigen

Die Registerkarte Status enthält detaillierte Informationen in Tabellenform über den Knoten, der in der Ressourcenstruktur ausgewählt ist. Die Art der dargestellten Informationen variiert je nach ausgewähltem Knoten. Die meisten einzelnen Tabelleneinträge sind Links. Sie können auf diese Links klicken, um die Statusseite anzuzeigen, die für diesen Tabelleneintrag gilt.

Alle Bytezahlen und Fehlerzahlen werden auch dann akkumuliert, wenn ein Citrix Hypervisor or-Server neu gestartet oder eine VM neu gestartet oder migriert wird. Die Farbcodes folgen den gleichen Regeln wie die Farbcodes in der Seitenwand. Siehe Farbcodierte Symbole.

Globale Ebene

Auf globaler Ebene wird auf der Seite Status eine Tabelle mit allen Ressourcenpools mit den folgenden Informationen angezeigt:

  • Ressourcenpool: Name des Ressourcenpools.
  • # Server: Anzahl der Server im Pool.
  • # Netzwerke: Anzahl der Netzwerke im Pool.
  • # VMs: Anzahl der VMs im Pool.
  • Status: Farbcodiertes Symbol, das den aktuellen Poolstatus anzeigt.

Durch Klicken auf das Zahnradsymbol auf der rechten Seite einer Zeile können Sie den Ressourcenpool ändern.

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Portkonfigurationsrichtlinien angeben. Siehe Richten Sie Portkonfigurationsrichtlinien ein.

Ressourcenpoolebene

Für einen ausgewählten Ressourcenpool enthält die Seite Status die folgenden Informationen:

  • Status: Farbcodiertes Symbol, das den aktuellen Poolstatus anzeigt.
  • Poolmaster: IP-Adresse oder DNS-Name des Masterservers im Pool.
  • Pool-weite Netzwerke: Anzahl der Netzwerke im Pool.
  • Citrix Hypervisor: Anzahl der Server im Pool.
  • Alle VMs: Anzahl der VMs im Pool.
  • Serverliste: Liste der Server im Pool, einschließlich Servername, Anzahl der Netzwerke, Anzahl der VMs und Status.

Zusätzlich zur Anzeige von Statusinformationen können Sie konfigurieren, wie die Citrix Hypervisor or-Server im Pool Netflow-Daten weiterleiten. Select die folgenden Kontrollkästchen, und klicken Sie auf Netflow-Konfiguration speichern:

  • vSwitch Controller (standardmäßig ausgewählt): leitet Netflow-Informationen an den vSwitch Controller weiter, um sie durch den Abschnitt „Flow Statistics“ der GUI zu verwenden. Wenn Sie dieses Kontrollkästchen deaktivieren, werden die Netflow-Daten nicht an den vSwitch Controller gesendet, und auf den Seiten „Flow Statistics“ werden keine Daten angezeigt.
  • Externer Netflow-Controller: Ermöglicht die Weiterleitung von Netflow-Daten an einen externen Netflow-Collector von Drittanbietern. Geben Sie die IP-Adresse des externen Collectors ein.

Ausfallsicherer Modus

Verwenden Sie den Abschnitt Fehlermodus , um zu konfigurieren, wie ein vSwitch die Zugriffssteuerungsregeln erzwingt, wenn er keine Verbindung mit seinem vSwitch Controller herstellen kann. Es ist wichtig, ein hohes Maß an vSwitch Controller Verfügbarkeit aufrechtzuerhalten, um Datenverlust zu vermeiden. In Zeiten, in denen der vSwitch Controller nicht verfügbar ist, gelten die folgenden Fehlermodi:

  • Fail-Open: Der gesamte Datenverkehr ist zulässig, zuvor definierte ACLs gelten erst dann, wenn der vSwitch wieder eine Verbindung mit dem vSwitch Controller herstellen kann.
  • Ausfallsicher: Vorhandene ACLs gelten weiterhin.

Im normalen Betrieb verwaltet der vSwitch Verbindungen zu seinem konfigurierten vSwitch Controller, um Netzwerkverwaltungs- und Statusinformationen auszutauschen. Wenn der vSwitch Controller nicht verfügbar ist, wartet der vSwitch bis zu einem Inaktivitäts-Timeout, bei dem der Netzwerkverkehr unterbrochen wird. Nach dem Inaktivitäts-Timeout wechselt der vSwitch in den konfigurierten Fail-Modus.

Im ausfallsicheren Modus werden vorhandene ACLs weiterhin angewendet, nachdem der vSwitch die Verbindung zum konfigurierten vSwitch Controller verliert. Datenverkehr, der nicht mit vorhandenen ACLs übereinstimmt, wird verweigert. Alle ACLs auf jeder Ebene der vom Controller dargestellten Richtlinienhierarchie werden als Regelsätze für VIFs im vSwitch erzwungen. Daher können neue VIFs, die im ausfallsicheren Modus angezeigt werden, während der Controller nicht verfügbar ist, erst kommunizieren, wenn der Controller wieder verfügbar ist. Vorhandene VIFs, die getrennt und dann neu angeschlossen werden, haben das gleiche Verhalten wie neue VIFs. Diese Situation tritt auf, auch wenn übergeordnete ACL-Richtlinienregeln (global, pro Ressourcenpool, pro Netzwerk oder pro VM), die die Kommunikation auf vorhandenen VIFs zulassen, vorhanden sind. Darüber hinaus kann der vSwitch Controller ACLs basierend auf den erlernten IP-Adressen definieren. Im ausfallsicheren Modus werden Pakete, die von einer VM mit einer IP-Adresse gesendet werden, die der Controller nicht mit der VM verknüpft hat, bevor sie nicht verfügbar wurde, verweigert. Beispielsweise kann eine vorhandene VM, die eine neue IP-Adresse verwendet, erst kommunizieren, wenn der Controller wieder erreichbar ist. Weitere Beispiele, bei denen Datenverkehr im ausfallsicheren Modus verweigert wird, sind:

  • Neu gesteckte VIFs
  • Eine neue VM
  • Eine migrierte VM (z. B. Live-Migration oder Workload Balancing)
  • VMs auf Hosts, die einem Pool hinzugefügt wurden
  • Anwendungen, die wie ein Router funktionieren

Wenn der vSwitch im ausfallsicheren Modus neu gestartet wird und der Controller nach dem Start des vSwitch immer noch nicht verfügbar ist, gehen alle ACLs verloren und der gesamte Datenverkehr wird verweigert. Der vSwitch bleibt im ausfallsicheren Modus, bis eine Verbindung mit dem Controller wieder hergestellt wird und ACLs vom Controller an den vSwitch gedrückt werden.

Warnhinweis:

Das Entfernen eines Ressourcenpools aus der vSwitch Controller Verwaltung im ausfallsicheren Modus kann dazu führen, dass der vSwitch Netzwerkkonnektivität verliert und eine Notfall-Reset-Situation erzwungen wird. Um diese Situation zu verhindern, entfernen Sie einen Ressourcenpool nur, wenn sein Status grün ist.

Sie können auf dieser Seite auch verfügbare Ziel-VLANs für Portkonfigurationsrichtlinien angeben. Weitere Informationen finden Sie unter Richten Sie Portkonfigurationsrichtlinien ein.

Serverebene

Für einen ausgewählten Server enthält die Seite Status die folgenden Informationen:

  • Serverstatus: Farbcodiertes Symbol, das den aktuellen Serverstatus anzeigt.
  • Servernetzwerke: Anzahl der Netzwerke im Ressourcenpool.
  • MAC-Adresse: MAC-Adresse der Server-Management-Schnittstelle.
  • IP-Adresse: IP-Adresse der Serververwaltungsschnittstelle.
  • vSwitch-Version: Build- und Versionsnummer des vSwitches, der auf diesem Citrix Hypervisor ausgeführt wird.
  • Servernetzwerke: Liste aller Netzwerke, die dem Server zugeordnet sind. Diese Informationen umfassen:
    • Die Anzahl der VMs auf dem Server, die dieses Netzwerk verwenden
    • Die zugeordnete physikalische Schnittstelle,
    • Das VLAN
    • Die Anzahl der übertragenen und empfangenen Bytes
    • Die Anzahl der Fehler
    • Der Status
  • Server-VMs: Liste aller VMs, die dem Server zugeordnet sind. Für jede VIF auf der VM umfassen diese Informationen auch:
    • Die MAC-Adresse
    • Das Netzwerk
    • Die IP-Adresse
    • Die Gesamtzahl der seit dem Starten der VM übertragenen und empfangenen Bytes
    • Der Status

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Portkonfigurationsrichtlinien angeben. Siehe Richten Sie Portkonfigurationsrichtlinien ein.

Netzwerkebene

Auf der Registerkarte Status für Pool-weite Netzwerke werden zusammenfassende Informationen zu jedem Netzwerk im Ressourcenpool aufgeführt. Auf der Registerkarte Status für ein einzelnes Netzwerk werden Informationen über das Netzwerk selbst aufgeführt. Die Registerkarte enthält Hyperlink-Tabellen mit Informationen über die physischen Schnittstellen und VM-Schnittstellen, die derzeit mit dem Netzwerk verbunden sind.

Das Statussymbol kann in folgenden Farben angezeigt werden:

  • Grün, wenn das Netzwerk aktiv und ordnungsgemäß vom vSwitch Controller verwaltet wird
  • Rot, wenn das Netzwerk keine verbundenen Schnittstellen hat
  • Orange, wenn eine Fehlerbedingung vorliegt. Der zugehörige Text beschreibt den Fehler.

Für Pool-weite Netzwerke werden folgende Informationen angezeigt:

  • Netzwerkname: Bestimmtes Netzwerk.
  • VMs: Anzahl der VMs, die dem Netzwerk zugeordnet sind.
  • Citrix Hypervisor: Server für das Netzwerk.
  • Physische Schnittstelle: Server-Schnittstelle für das Netzwerk.
  • Pakete übertragen (Tx) und empfangen (Rx): Aggregierte Leistungsindikatoren über alle VIFs im angegebenen Netzwerk.
  • Fehler: Aggregierte Leistungsindikatoren über alle VIFs im angegebenen Netzwerk.
  • Status: Farbcodiertes Symbol, das das aktuelle Netzwerk anzeigt.

Für ein ausgewähltes Netzwerk werden folgende Informationen dargestellt:

  • Netzwerkstatus: Farbcodiertes Symbol, das das aktuelle Netzwerk anzeigt.
  • VMs: Anzahl der VMs, die dem Netzwerk zugeordnet sind.
  • Physische Schnittstellen: Liste der physischen Schnittstellen, einschließlich VLAN, Anzahl der übertragenen und empfangenen Bytes, Fehler und Status.
  • Switching von Citrix Hypervisor (nur in serverübergreifenden privaten Netzwerken vorhanden): Gibt den aktuellen aktiven Switching-Host für das Netzwerk an. Ein serverübergreifendes privates Netzwerk ermöglicht die Kommunikation zwischen VMs im selben Ressourcenpool, ohne dass eine zusätzliche Konfiguration des physischen Netzwerks erforderlich ist. Die VMs können auf verschiedenen Hosts ausgeführt werden. Diese Fähigkeit wird erreicht, indem ein „Switching-Host“ GRE-Tunnel zu jedem der anderen Hosts im Pool einrichtet. Die GRE Tunnel sind in einer Sterntopologie aufgebaut. Die anderen Hosts verfügen über eine aktive VM, die im privaten Netzwerk ausgeführt wird. Wenn ein Switching-Host nicht verfügbar ist oder gelöscht wird, wird automatisch ein neuer Switching-Host ausgewählt und neue GRE-Tunnel konfiguriert. Vernetzung/de-de/citrix-hypervisor/networking.html[()]Weitere Informationen zu serverübergreifenden privaten Netzwerken finden Sie unter.
  • VM-Schnittstellen: Liste der VMs, einschließlich MAC-Adresse, IP-Adresse, Anzahl der übertragenen und empfangenen Bytes und Status.

Auf dieser Seite können Sie auch verfügbare Ziel-VLANs für Portkonfigurationsrichtlinien angeben. Weitere Informationen finden Sie unter Richten Sie Portkonfigurationsrichtlinien ein.

Ebene der virtuellen Maschine (VM)

Die folgenden Informationen werden für alle VMs angezeigt:

  • VM-Name: Name der spezifischen VM.
  • MAC-Adresse: MAC-Adresse, die der VM zugewiesen ist.
  • Netzwerkname: Netzwerk, dem die VM zugewiesen ist.
  • Erkannte IP-Adresse: der VM zugewiesene IP-Adressen.
  • Pakete übertragen (Tx) und empfangen (Rx): Aggregierte Leistungsindikatoren über alle VIFs auf der angegebenen VM.
  • Fehler: Aggregierte Leistungsindikatoren über alle VIFs auf der angegebenen VM.

Für eine ausgewählte VM werden auf der Seite Status die folgenden Informationen angezeigt:

  • Status: Farbcodiertes Symbol, das den aktuellen VM-Status anzeigt.
  • Ressourcenpool: Ressourcenpool, zu dem die VM gehört.
  • Servername: Name des Servers, dem die VM zugewiesen ist. Diese Informationen sind leer, wenn die VM nicht ausgeführt wird und nicht an einen bestimmten Server gebunden ist.
  • VM-Gruppenmitgliedschaft: Liste der administrativen Gruppen, denen die VM zugewiesen ist.
  • VM-Schnittstellen: Liste der VIFs auf der VM. Diese Informationen umfassen:
    • MAC-Adresse
    • Netzwerkname
    • Erkannte IP-Adresse
    • Übertragen und Empfangen von Bytes, Paket- und Fehlerzählungen
    • Status
  • Netzwerkereignisse: Liste der Netzwerkereignisse, die die VM betreffen, einschließlich Priorität, Datum/Uhrzeit und Beschreibung.

Ebene der virtuellen Schnittstelle (VIF)

Für ein ausgewähltes VIF enthält die Seite Status die folgenden Informationen:

  • Status: Farbcodiertes Symbol, das den aktuellen VIF-Status anzeigt.
  • Ressourcenpool: Ressourcenpool, zu dem das VIF gehört.
  • Netzwerk: Netzwerk, zu dem das VIF gehört.
  • VM-Name: VM, zu der das VIF gehört.
  • MAC-Adresse: MAC-Adresse des VIF.
  • IP-Adresse: IP-Adresse des VIF.
  • Senden und Empfangen von Bytes, Paketen und Fehlern: Datenverkehr zählt für die VIF.
  • Switch-Port-ACL-Statistiken: Im Gegensatz zu Sende- und Empfangszählungen sind die ACL-Trefferanzahl momentane Statistiken, die aus den ACL-Regelstatistiken des aktuellen vSwitch gelesen werden. Daher führen Richtlinienänderungen und VM-Aktionen wie Suspendierung, Herunterfahren oder Migration dazu, dass diese Statistiken zurückgesetzt werden.Für die vSwitch-ACL-Statistiken muss eine IP-Adresse im Netzwerk identifiziert werden und Statistiken für IP-basierte Protokolle sammeln können. Wenn Sie feststellen, dass IP-basierte Regeln nicht berücksichtigt werden, stellen Sie sicher, dass eine IP-Adresse im Feld IP-Adresse angezeigt wird.

Anzeigen von Flow-Statistiken

Standardmäßig sendet der vSwitch auf jedem verwalteten Citrix Hypervisor Netflow-Daten an den vSwitch Controller, der diese Daten verwendet, um Flow-Statistiktabellen und -Diagramme zu generieren. Der vSwitch generiert Netflow-Datensätze für alle IPv4-Flows nach fünf Sekunden ohne Aktivität oder 60 Sekunden Gesamtaktivität.

Die Datenrate eines Flows wird als Gesamtverkehr des Flows dargestellt, der über die Dauer des Flows gemittelt wird. Wenn ein Flow beispielsweise 10 Sekunden dauert, wobei 900 KB in der ersten Sekunde gesendet und 10 KB in jeder der neun verbleibenden Sekunden gesendet werden, werden die resultierenden Daten so dargestellt, als ob die Rate 100 KB/s für den gesamten Flusszeitraum betrug.

Netflow verwendet UDP-Datagramme, um NetFlow-Datensätze zwischen einem Switch und einem Collector zu transportieren (z. B. dem vSwitch Controller). Da NetFlow UDP-Datagramme verwendet, kann der Collector normalerweise nicht wissen, warum ein NetFlow-Datensatz nicht empfangen wurde. Verfallene Datensätze können zu nichtdeterministischen Daten mit Flow Statistics Tabellen oder Diagrammen führen. Angenommen, ein Netzwerk, das 10 Flows pro Sekunde generiert, verfügt über eine einzelne 1-GB-Dateiübertragung, die 10 Sekunden dauert. Das Netzwerk erzeugt insgesamt 202 Flows (100 Hping-Reize, 100 Hping-Antworten, 1 Dateiübertragungsstimulus und 1 Dateiübertragungsantwort). Wenn 50% der UDP-Datagramme gelöscht werden, besteht eine Wahrscheinlichkeit von 50/50, dass der Collector entweder 1 GB Daten oder 2 KB meldet.

Da jeder vSwitch in einem Pool Netflow-Datensätze generiert, führen Quellen und Ziele, die auf verschiedenen Citrix Hypervisor or-Servern ausgeführt werden, zu zwei Datensätzen, wodurch die Statistikanzahl verdoppelt wird.

Deaktivieren Sie die Flow-Transparenz in Bereitstellungen von mehr als 100 VMs, um eine Überlastung der virtuellen vSwitch Controller Appliance und des Netzwerkes zu vermeiden, das zum Senden von NetFlow-Datensätzen verwendet wird.

Auf der Registerkarte „ Flow-Statistiken “ werden ein Diagramm und eine zugehörige Tabelle angezeigt, in der die Flows für den ausgewählten Knoten angezeigt werden.

Ein Screenshot der Listen, die die im folgenden Abschnitt beschriebenen Optionen enthalten.

Verwenden Sie die Listen oben auf der Seite, um Folgendes anzugeben:

  • Richtung: Bidirektional, Inward, Outbound
  • Einheiten: Bytes, Bits, Pakete, Flows
  • Die oberen oder unteren Elemente (höchste oder niedrigste Werte) einer der folgenden Gruppierungen:
    • VMs: VMs, die sich im Ressourcenpool als Quellen/Ziele für den Datenverkehr befinden
    • IP-Adressen: IP-Adressen als Quelle oder Ziel für den Datenverkehr
    • Protokolle: IP-Protokollverkehr wie ICMP, TCP und UDP

      Hinweis:

      Ethernet-Layer-Protokolle (z. B. ARP) werden aufgrund der Einschränkungen im Netflow-Protokoll, das zum Generieren von Ergebnissen verwendet wird, nicht angezeigt.

    • Anwendung: Protokollverkehr auf Anwendungsebene, identifiziert durch TCP/UDP-Port oder ICMP-Typ/Code
  • Datenverkehr (nach Typ): VMs, IP-Adresse, Protokolle, Anwendungen (nach Protokolltyp und Portnummer angezeigt, diese Informationen können Sie den Dienst ableiten)
  • Zeitintervall.

In der Tabelle unterhalb des Diagramms werden einige oder alle der folgenden Informationen angezeigt, je nach Typ des in der Liste ausgewählten Elements:

  • VM
  • IP
  • Eingehende Bytes
  • Eingangsdatenrate (KBit/s)
  • Ausgehende Bytes
  • Ausgehende Datenrate (KBit/s)
  • Bytes insgesamt
  • Gesamte Datenrate (bps)

Wenn NetFlow nicht an den vSwitch Controller weitergeleitet wird, wird auf der Registerkarte „Flow Statistics“ ein blauer Statustext angezeigt:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

Um die Weiterleitung neu zu konfigurieren, klicken Sie auf den blauen Statustext, um eine Liste der Ressourcenpools anzuzeigen. Select den gewünschten Ressourcenpool aus der Liste aus, um zur Poolstatusseite zu navigieren. Auf der Statusseite können Sie NetFlow-Datenweiterleitung konfigurieren.

Verwalten von Adressgruppen

Sie können Adressgruppen einrichten, um die IP-Adressen anzugeben, die als Quelle oder Ziel für ACLs und für die Berichterstellung von Flussstatistiken verwendet werden sollen.

So fügen Sie eine Adressgruppe hinzu:

  1. Wählen Sie unter Sichtbarkeit und Steuerungin der Ressourcenstruktur (Seitenbereich) die Option Adressgruppenaus, um die Seite Status für alle Adressgruppen zu öffnen.
  2. Klicken Sie auf Gruppe erstellen.
  3. Geben Sie den Namen für die Identifizierung der Gruppe und eine optionale Beschreibung ein.
  4. Klicken Sie auf Gruppe erstellen. Die neue Gruppe wird der Liste der Adressgruppen hinzugefügt.
  5. Select die neue Gruppe in der Ressourcenstruktur aus, um die Statusseite zu öffnen.
  6. Klicken Sie auf die Schaltfläche Mitglieder hinzufügen .
  7. Geben Sie im Popup-Fenster eine oder mehrere IP-Adressen oder Subnetze an (durch Kommas getrennt). Beispiel: 192.168.12.5, 192.168.1.0/24
  8. Klicken Sie auf Hinzufügen. Fügen Sie bei Bedarf weitere Netzwerke hinzu. Jede Adressengruppe wird als Knoten unter dem Netzwerk in der Liste Adressgruppen hinzugefügt.

Die neue Adressgruppe ist jetzt für ACL-Richtlinien und Flussstatistiken verfügbar.

Sie können eine vorhandene Adressgruppe entfernen, indem Sie in der Zeile der Alle Adressgruppen für diese Adressgruppe auf den Link Entfernen klicken.

Sie können auch den Namen oder die Beschreibung der und die Adressgruppe aktualisieren:

  1. Select die neue Gruppe in der Ressourcenstruktur aus, um die Statusseite zu öffnen.
  2. Klicken Sie auf die Schaltfläche Gruppe ändern .
  3. Ändern Sie im sich öffnenden Dialog den Namen und die Beschreibung.
  4. Klicken Sie auf die Schaltfläche Gruppe ändern , um die Änderungen zu speichern.

Verwalten von Gruppen virtueller Maschinen

Eine VM-Gruppe ist eine Gruppe von VMs, die Sie als Gruppe zum Anzeigen von Status- und Flussstatistiken identifizieren. Jede VM in einer VM-Gruppe muss sich bereits in einem Ressourcenpool befinden. Die Gruppen sind ansonsten unabhängig von Ressourcenpools und Servern.

So fügen Sie eine VM-Gruppe hinzu:

  1. Wählen Sie unter Sichtbarkeit und Steuerungdie Option VM-Gruppenin der Ressourcenstruktur (Seitenbereich) aus, um die Seite Status für alle VM-Gruppen zu öffnen.
  2. Klicken Sie auf die Schaltfläche Gruppe erstellen.
  3. Geben Sie den Namen für die Identifizierung der Gruppe und eine optionale Beschreibung ein.
  4. Klicken Sie auf Gruppe erstellen. Die neue Gruppe wird der Liste der VM-Gruppen hinzugefügt.
  5. Select die neue Gruppe in der Ressourcenstruktur aus, um die Statusseite zu öffnen.
  6. Klicken Sie auf Mitglied hinzufügen.
  7. Wählen Sie im Popup-Fenster die VM aus der Liste aus.
  8. Klicken Sie auf Hinzufügen. Fügen Sie bei Bedarf weitere VMs hinzu. Jede VM wird als Unterknoten unter der Gruppe in der Liste VM-Gruppen hinzugefügt.

Für jede VM-Gruppe stehen folgende Rechtsklickoptionen zur Verfügung:

  • VM zu Gruppe hinzufügen: Fügen Sie ein neues Gruppenmitglied hinzu.
  • Name/Beschreibung ändern: Ändern Sie den Namen oder die Beschreibung.
  • Gruppe entfernen: Löschen Sie die Gruppe.

Konfigurationshierarchie der DVS-Richtlinie

Verwenden Sie die Registerkarten Zugriffssteuerung und Portkonfiguration in Sichtbarkeit & Steuerung , um Zugriffssteuerungs-, QoS- und Datenspiegelungsrichtlinien innerhalb der virtuellen Netzwerkumgebung zu konfigurieren. Während alle Richtlinien auf VIF-Ebene angewendet werden, stellt vSwitch Controller ein hierarchisches Richtlinienmodell bereit, das das Deklarieren von Standardrichtlinien für eine Sammlung von VIFs unterstützt. Der vSwitch Controller bietet auch eine Möglichkeit, diese Standardrichtlinie zu überschreiben, indem bei Bedarf feinkörnige Ausnahmen erstellt werden. Beispielsweise können Sie eine bestimmte VM von der standardmäßigen Ressourcenpool-Richtlinie ausnehmen.

Ähnlich wie die in der Ressourcenstruktur verwendete Hierarchie weist die Richtlinienhierarchie die folgenden Ebenen auf:

  • Global (allgemeinste Ebene): Enthält alle VIFs in allen Ressourcenpools.
  • Ressourcenpools: Alle VIFs in einem bestimmten Ressourcenpool.
  • Netzwerke: Alle VIFs, die an ein bestimmtes Netzwerk angeschlossen sind.
  • VMs: Alle VIFs, die an eine bestimmte VM angeschlossen sind
  • VIFs (spezifischste Stufe): Ein einzelnes VIF.

Hinweis:

Citrix Hypervisor-Server sind nicht in der Richtlinienhierarchie enthalten, da Richtlinien unabhängig davon gelten müssen, welche Citrix Hypervisor in einem Ressourcenpool eine VM ausführt.

Einrichten von Zugriffssteuerungsrichtlinien

Wählen Sie die Registerkarte Zugriffssteuerung , um Richtlinien einzurichten, die VM-Datenverkehr basierend auf Paketattributen zulassen oder verweigern.

Eine ACL-Richtlinie besteht aus einer Reihe von Regeln, die jeweils Folgendes umfassen:

  • Aktion: Gibt an, ob Datenverkehr, der der Regel entspricht, zulässig ist (Zulassen) oder gelöscht (Verweigern).
  • Protokoll: Netzwerkprotokoll, für das die Regel gilt. Sie können die Regel auf alle Protokolle anwenden (Beliebig), eine vorhandene Protokollliste auswählen oder ein neues Protokoll angeben.
  • Richtung: Verkehrsrichtung, für die die Regel gilt. Lesen Sie den Text der Regeln von links nach rechts: „nach“ bedeutet Datenverkehr, der von der VM ausgehend ist, während „von“ Datenverkehr, der an die VM eingeht.
  • Remoteadressen: Gibt an, ob die Regel auf den Datenverkehr zu/von einer bestimmten Gruppe von Remote-IP-Adressen beschränkt ist.

Die Verwaltung von ACL-Richtlinien folgt eng mit der Ressourcenstrukturhierarchie. Sie können Richtlinien auf jeder unterstützten Ebene der Hierarchie angeben. Auf jeder Ebene sind die Regeln wie folgt organisiert:

  • Obligatorische Regeln: Diese Regeln werden vor untergeordneten Richtlinienregeln ausgewertet. Die einzigen Regeln, die Vorrang vor ihnen haben, sind obligatorische Regeln von übergeordneten (weniger spezifischen) Richtlinien. Obligatorische Regeln werden verwendet, um Regeln anzugeben, die untergeordnete (spezifischere) Richtlinien nicht überschreiben können.
  • Untergeordnete Regeln: Der Platzhalter für untergeordnete Richtlinien gibt den Speicherort in der Regelreihenfolge an, in der Regeln in untergeordneten Richtlinien ausgewertet werden. Es teilt die obligatorischen Regeln von den Standardregeln.
  • Standardregeln: Diese Regeln werden zuletzt ausgewertet, nachdem alle obligatorischen Regeln und alle untergeordneten Policy-Standardregeln. Sie haben nur Vorrang vor Standardregeln übergeordneter Richtlinien. Sie werden verwendet, um Verhalten anzugeben, das nur angewendet wird, wenn eine spezifischere untergeordnete Richtlinie kein widersprüchliches Verhalten angibt.

Die Registerkarte **Zugriffssteuerung** für ein VIF.

Global Access Control List (ACL) -Regeln

Um globale ACL-Regeln einzurichten, klicken Sie in der Ressourcenstruktur auf Alle Ressourcenpools . Auf der Seite werden alle ACL-Regeln aufgeführt, die auf globaler Ebene definiert sind.

Resource Pool-Zugriffssteuerungslistenregeln (ACL)

Um ACL-Regeln für einen Ressourcenpool einzurichten, wählen Sie den Ressourcenpool in der Ressourcenstruktur aus.

Die Seite zeigt einen erweiterbaren Balken für globale Richtlinien und einen erweiterten Bereich für Ressourcenpoolregeln. Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die Ressourcenpoolregeln in das globale Richtlinienframework eingebettet sind.

ACL-Regeln (Network Access Control List)

Um ACL-Regeln auf Netzwerkebene einzurichten, klicken Sie in der Ressourcenstruktur auf das Netzwerk.

Die Seite zeigt Folgendes:

  • Ein erweiterbarer Balken für globale Regeln
  • Ein erweiterbarer Balken für den Ressourcenpool, zu dem das Netzwerk gehört
  • Ein erweiterter Bereich für Netzwerkregeln

Wenn Sie auf Alle erweiternklicken, können Sie sehen, wie die Netzwerkrichtlinien in das Ressourcenrichtlinien-Framework und in das globale Richtlinienframework eingebettet sind.

VM-Zugriffssteuerungslisten-Regeln (ACL)

Um Richtlinien auf VM-Ebene einzurichten, klicken Sie in der Ressourcenstruktur auf die VM.

Die Seite zeigt Folgendes:

  • Ein erweiterbarer Balken für globale Regeln
  • Erweiterbare Balken für den Ressourcenpool und das Netzwerk, zu dem die VM gehört
  • Ein erweiterter Bereich für VM-Regeln

Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die VM-Regeln in das Netzwerk, den Ressourcenpool und das globale Framework eingebettet sind.

Wenn eine VM VIFs in mehreren Netzwerken enthält, wird rechts neben der Beispielleiste für das Netzwerk ein Link „Netzwerk ändern“ angezeigt. Mit diesem Link können Sie die Regeln für jede Richtlinie auf Netzwerkebene anzeigen, die für eine VIF auf dieser VM gelten könnten.

VIF-Zugriffssteuerungslisten-Regeln (ACL)

Um Richtlinien auf VIF-Ebene einzurichten, klicken Sie in der Ressourcenstruktur auf das VIF. Da Richtlinien nur auf VIF-Ebene verpackt und angewendet werden, müssen Sie die VIF-Seiten anzeigen, um den vollständigen Richtlinienkontext anzuzeigen.

Die Seite zeigt Folgendes:

  • Erweiterbare Balken für globale Regeln
  • Erweiterbare Balken für den Ressourcenpool, das Netzwerk und die VM, zu der das VIF gehört
  • Ein erweiterter Bereich für VIF-Regeln

Wenn Sie auf die Schaltfläche Alle erweitern klicken, können Sie sehen, wie die VIF-Regeln in die VM, das Netzwerk, den Ressourcenpool und das globale Framework eingebettet sind.

Zugriffssteuerungsliste (ACL) -Regelerzwingungsreihenfolge

Obwohl ACLs auf verschiedenen Ebenen der Richtlinienkonfigurationshierarchie definiert werden können, werden ACLs pro VIF-Basis erzwungen. Für die tatsächliche Erzwingung wird die Hierarchie in der in diesem Abschnitt beschriebenen Reihenfolge kombiniert und auf jedes VIF angewendet. Um die aktuell angewendeten Regeln für eine VIF und die zugehörigen Statistiken anzuzeigen, wählen Sie die VIF in der Ressourcenstruktur aus. Zeigen Sie die ACL-Liste auf der Registerkarte Status an.

Die Vollstreckungsbefehl lautet wie folgt:

  1. Obligatorische Regeln auf globaler Ebene
  2. Obligatorische Regeln für den Ressourcenpool, der das VIF enthält
  3. Obligatorische Regeln für das Netzwerk, das das VIF enthält
  4. Obligatorische Regeln für die VM, die das VIF enthält
  5. Regeln für das VIF, das das VIF enthält
  6. Standardregeln für die VM, die das VIF enthält
  7. Standardregeln für das Netzwerk, das das VIF enthält
  8. Standardregeln für den Ressourcenpool, der das VIF enthält
  9. Standardregeln für die globale, die das VIF enthält

Die erste Regel, die übereinstimmt, wird ausgeführt, und es werden keine weiteren Regeln ausgewertet.

Hinweis:

Wenn ein vSwitch Controller nicht verfügbar ist, erzwingt der Ressourcenpool Zugriffssteuerungsregeln basierend auf dem konfigurierten Fehlermodus. Weitere Informationen zum Ausfallmodus eines Ressourcenpools finden Sie im Abschnitt „Ressourcenpoolebene“ unter „Status anzeigen“.

Zugriffssteuerungslisten (ACL) -Regeln definieren

Um eine neue ACL-Regel zu definieren, wählen Sie mithilfe der Ressourcenstruktur den Knoten auf der entsprechenden Ebene in der Richtlinienkonfigurationshierarchie aus. Sie können Regeln auf jeder Ebene für diese Ebene und für höhere Ebenen hinzufügen. Wenn Sie beispielsweise einen Ressourcenpool auswählen, können Sie Regeln für diesen Ressourcenpool und globale Regeln hinzufügen.

Wenn Sie einen Ressourcenstrukturknoten auswählen, der keiner Ebene in der Richtlinienkonfigurationshierarchie entspricht, wird eine Meldung angezeigt. Die Nachricht enthält Links zum Auswählen einer anderen Ebene.

Neue Regeln können auf folgende Weise hinzugefügt werden:

  • Um eine obligatorische Regel hinzuzufügen, klicken Sie auf das Zahnradsymbol in der Kopfleiste für die Ebene und wählen Sie Neue obligatorische ACL hinzufügen.
  • Um eine Standardregel hinzuzufügen, klicken Sie auf das Zahnradsymbol in der Kopfleiste für die Ebene und wählen Sie Neue Standard-ACL hinzufügen.
  • Um eine Regel oberhalb eines vorhandenen Regeleintrags hinzuzufügen, klicken Sie auf das Zahnradsymbol für den Eintrag und wählen Sie „ Neue ACL hinzufügen“.
  • Um eine Regel unterhalb eines vorhandenen Regeleintrags hinzuzufügen, klicken Sie auf das Zahnradsymbol für den Eintrag und wählen Sie „ Neue ACL hinzufügen“ unten.

Die neue Regel wird der Seite mit den folgenden Standardeinstellungen hinzugefügt:

  • Aktion: Zulassen
  • Protokoll: Beliebig
  • Richtung: zu/Von
  • Remote-Adressen: Beliebig
  • Beschreibung: None

Um ein bestimmtes Feld innerhalb einer Regel zu ändern, klicken Sie auf den Link, der den aktuellen Feldwert darstellt, und wenden Sie die Änderungen an, wie in der folgenden Liste beschrieben. Wenn Sie eine Änderung anwenden, wird die Regel aktualisiert, um die Werte anzuzeigen.

  • Aktion: Klicken Sie auf den Link und wählen Sie „ Aktion zum Verweigern ändern“ oder „Zu zulässigeAktion ändern“ .
  • Protokoll: Klicken Sie auf und wählen Sie eine der folgenden Optionen:
    • Wählen Sie „ Beliebiges Protokoll zuordnen“, um die Regel auf alle Protokolle anzuwenden.
    • Wählen Sie Vorhandenes Protokoll verwenden , um ein Protokoll anzugeben. Select das Protokoll aus der Liste aus, und klicken Sie auf Protokoll verwenden.
    • Wählen Sie Neues Protokoll verwenden , um benutzerdefinierte Protokollmerkmale anzugeben. Geben Sie die folgenden Informationen im Popup-Fenster an, und klicken Sie auf Speichern und verwenden:
      • Ethertype: Select IP oder geben Sie einen anderen Ethertyp ein.
      • IP-Protokoll: Select eines der aufgelisteten Protokolle aus, oder geben Sie ein anderes ein.
      • Zielport (nur TCP/UDP): Geben Sie eine Portnummer ein, oder geben Sie Beliebigan.
      • Quellport (nur TCP/UDP): Geben Sie eine Portnummer ein, oder geben Sie Beliebigan. Wenn Sie eine Anwendung definieren, die einen bekannten Serverport verwendet, definieren Sie diesen bekannten Port als Zielport, und belassen Sie den Quellport als Beliebig. Sie können diesen Ansatz beispielsweise für HTTP verwenden, das Port 80 verwendet.
      • ICMP-Typ (nur ICMP): Wählen Sie „ Beliebig “, oder geben Sie einen bestimmten ICMP-Typ-Protokolltyp (ICMP) ein.
      • ICMP-Code (nur ICMP): Wählen Sie „ Beliebig “, oder geben Sie einen bestimmten ICMP-Code ein.
      • Antwortverkehr abgleichen: Geben Sie an, ob Rückkehrverkehr automatisch als Teil der Regel zulässig ist. Wenn die Regel beispielsweise UDP-Zielport 7777 Datenverkehr von der VM zu einer angegebenen Remoteadresse zulässt und Antwortverkehr übereinstimmen ausgewählt ist, ist UDP-Datenverkehr auch vom Quellport 7777 der Remoteadresse zur VM zulässig. Aktivieren Sie diese Option für jedes UDP-Protokoll, das eine bidirektionale Kommunikation erfordert (die Option ist immer für TCP aktiviert).
      • Einmalige Verwendung vs. Mehrfachverwendungen: Select aus, ob dieses Protokoll nur für die aktuelle Regel verwendet werden soll oder es der Liste der Protokolle im Protokollmenü hinzugefügt werden soll.
    • Wählen Sie Aktuelles Protokoll anzeigen/ändern , um Eigenschaften für ein bereits definiertes Protokoll zu ändern.
  • Richtung: Wählen Sie aus, ob die Regel von oder auf die angegebenen Remoteadressen oder beides angewendet wird.
  • Remoteadressen: So geben Sie die Remoteadressen an:
    1. Klicken Sie auf den Link Beliebig , um ein Popup-Fenster zu öffnen, in dem die verfügbaren Adressgruppen aufgeführt sind.
    2. Select eine oder mehrere Adressgruppen aus, und verschieben Sie sie mit den Pfeilen in die Spalte Ausgewählt .
    3. Mit den Schaltflächen Alle können Sie alle Gruppen auswählen oder deaktivieren.
    4. Um eine IP-Adresse oder ein Subnetz anzugeben, das nicht Teil einer vorhandenen Adressgruppe ist, geben Sie die Adresse oder das Subnetz ein (x.x.x.x oder x.x.x/n). Klicken Sie auf Hinzufügen. Wiederholen Sie dies, um weitere Adressen hinzuzufügen.
    5. Klicken Sie auf Fertig.
  • Beschreibung: So fügen Sie eine Textbeschreibung der Regel hinzu:
    1. Klicken Sie auf die Schaltfläche Beschreibung .
    2. Klicken Sie auf den Eintrag (<Keine> wenn keine aktuelle Beschreibung vorhanden ist). Ein Texteingabebereich wird angezeigt. Geben Sie den Text ein und drücken Sie Geben Sie ein.
  • Regeldetails: Klicken Sie auf die Schaltfläche Regeldetails , um eine kurze Zusammenfassung der Regel anzuzeigen.

Klicken Sie auf Richtlinienänderungen speichern , um die neuen Regeln anzuwenden. Wenn Sie dies tun, werden die Änderungen sofort innerhalb der virtuellen Netzwerkumgebung wirksam. Wenn Sie die Regeln noch nicht gespeichert haben, können Sie auf Änderungen rückgängig machen klicken, um die von Ihnen benannten Änderungen rückgängig zu machen.

Wenn Sie eine ACL ändern, werden alle Hintergrundaktualisierungen für die vSwitch Controller GUI angehalten. Wenn ein anderer Administrator die Richtlinie gleichzeitig ändert und Änderungen vor Ihnen festlegt, aktualisieren Sie die Seite, um die neue Richtlinie vom Server abzurufen. Geben Sie Ihre Änderungen erneut ein.

Sie können die Reihenfolge der Regeln in einer Ebene ändern, indem Sie auf das Zahnradsymbol für die Regel klicken und „ Nach oben “ oder „ Nach unten “ wählen. Sie können keine Regel zwischen Ebenen in der Hierarchie verschieben. Um eine Regel zu entfernen, klicken Sie auf das Zahnradsymbol und wählen Sie Löschen. Klicken Sie auf die Schaltfläche Beschreibung , um die ACL-Beschreibung anzuzeigen. Oder die Schaltfläche „ Regel “, um die von Ihnen erstellte ACL-Regel anzuzeigen.

ACL-Regeln werden immer aus der Sicht der virtuellen Schnittstelle der VM interpretiert, selbst wenn sie in der Richtlinienhierarchie höher konfiguriert sind. Dieses Verhalten ist wichtig, wenn Sie über die Bedeutung des Felds „Remoteadressen“ in den Regeln nachdenken.

Wenn beispielsweise eine VM in einem Pool die IP-Adresse 10.1.1.1 hat, erwarten Sie möglicherweise eine Regel für den Pool, die angibt, dass „Alle Protokolle nach IP 10.1.1.1” verweigern, um zu verhindern, dass Datenverkehr auf die VM gelangt. Dieses Verhalten ist für alle anderen VMs im Ressourcenpool der Fall, da jede VM die Regel erzwingt, wenn die VM überträgt. Computer, die sich außerhalb des Ressourcenpools befinden, können jedoch mit der VM mit der IP-Adresse 10.1.1.1 kommunizieren. Dieses Verhalten liegt daran, dass keine Regeln das Übertragungsverhalten der externen Maschinen steuern. Es liegt auch daran, dass die VIF der VM mit der IP-Adresse 10.1.1.1 eine Regel aufweist, die den Übertragungsverkehr mit dieser Adresse abnimmt. Die Regel löscht jedoch keinen Empfangsverkehr mit dieser Adresse.

Wenn das Richtlinienverhalten unerwartet ist, zeigen Sie die Registerkarte Status für die virtuelle Schnittstelle an, auf der der gesamte Regelsatz aller Richtlinienebenen visualisiert wird.

Richten Sie Portkonfigurationsrichtlinien ein

Verwenden Sie die Registerkarte Portkonfiguration , um Richtlinien zu konfigurieren, die für die VIF-Ports gelten. Die folgenden Richtlinientypen werden unterstützt:

  • QoS: Quality of Service (QoS) -Richtlinien steuern die maximale Übertragungsrate für eine VM, die mit einem DVS-Port verbunden ist.
  • Datenverkehrsspiegelung: RSPAN-Richtlinien (Remote Switched Port Analyzer) unterstützen die Spiegelung des Datenverkehrs, der auf einem VIF an ein VLAN gesendet oder empfangen wird, um Anwendungen zur Datenüberwachung zu unterstützen.
  • Deaktivieren der MAC-Adress-Spoofprüfung: Richtlinien für die Überprüfung der MAC-Adresse steuern, ob die MAC-Adressenerzwingung bei Datenverkehr aus einem VIF durchgeführt wird. Wenn der vSwitch Controller ein Paket mit einer unbekannten MAC-Adresse aus einem VIF erkennt, werden das Paket und der gesamte nachfolgende Datenverkehr aus dem VIF entfernt. Die Richtlinien für die Überprüfung von MAC-Adressen sind standardmäßig aktiviert. Deaktivieren Sie diese Richtlinien auf VIFs, die Software wie den Netzwerklastenausgleich auf Microsoft Windows -Servern ausführen.

Warnhinweis:

Die Aktivierung von RSPAN ohne korrekte Konfiguration Ihres physischen und virtuellen Netzwerks kann zu einem schwerwiegenden Netzwerkausfall führen. Lesen Sie die Anweisungen inRSPAN konfigurierensorgfältig durch, bevor Sie diese Funktion aktivieren.

Sie können QoS und Traffic Mirroring Port-Richtlinien auf globaler Ebene, Ressourcenpool, Netzwerk, VM und VIF konfigurieren. Wenn Sie einen Knoten in der Ressourcenstruktur auswählen und die Registerkarte Portkonfiguration auswählen, wird die Konfiguration für jede übergeordnete Ebene in der Hierarchie angezeigt. Es kann jedoch nur die Konfiguration auf der ausgewählten Richtlinienebene geändert werden. Wenn Sie beispielsweise eine VM auswählen, werden auf der Registerkarte Portkonfiguration die Werte angezeigt, die auf globaler Ebene, Ressourcenpool und Netzwerkebene konfiguriert sind. Auf der Registerkarte können Sie den Wert auf VM-Ebene ändern.

QoS und Traffic Mirroring Konfigurationen auf einer bestimmten Ebene überschreiben die Konfigurationen auf den höheren Ebenen. Wenn eine Konfiguration außer Kraft gesetzt wird, zeigt die Registerkarte Port-Konfiguration die übergeordnete Konfiguration durchgestrichen an. Die nächste Abbildung zeigt beispielsweise eine QoS-Konfiguration auf Netzwerkebene, die die Konfiguration auf Ressourcenpoolebene außer Kraft setzt.

Screenshot der Registerkarte **Port-Konfiguration** .

Um Port-Richtlinien zu konfigurieren, wählen Sie den Knoten in der Ressourcenstruktur und wählen Sie die Registerkarte Port-Konfiguration . Wenn Sie einen Knoten auswählen, der keine Portkonfigurationsrichtlinien unterstützt, wird eine Meldung mit Verknüpfungen zu Knoten angezeigt, die die Portkonfiguration unterstützen.

QoS konfigurieren

Wählen Sie für QoS-Richtlinien aus den folgenden Optionen:

  • QoS-Richtlinie vom übergeordneten Element übernehmen (Standard): Wendet die Richtlinie von der höheren (d. h. weniger spezifischen) Hierarchieebene an. Diese Option ist auf globaler Ebene nicht vorhanden.
  • Vererbte QoS-Richtlinie deaktivieren: Ignoriert alle Richtlinien, die auf höheren (d. h. weniger spezifischen) Ebenen festgelegt sind, so dass alle in dieser Richtlinienebene enthaltenen VIFs keine QoS-Konfiguration haben.
  • QoS-Limit anwenden: Select ein Zinslimit (mit Einheiten) und eine Aufzahlungsgröße (mit Einheiten) aus. Der Datenverkehr zu allen in dieser Richtlinienstufe enthaltenen VIFs ist auf die angegebene Rate begrenzt, wobei einzelne Bursts auf die angegebene Anzahl von Paketen beschränkt sind.

Warnhinweis:

Wenn Sie eine zu kleine Burstgröße relativ zum Ratenlimit festlegen, kann verhindert werden, dass ein VIF genügend Datenverkehr sendet, um das Ratenlimit zu erreichen. Dieses Verhalten ist besonders wahrscheinlich für Protokolle, die Staukontrolle wie TCP durchführen.

Die Burstrate muss mindestens größer sein als die Maximum Transmission Unit (MTU) des lokalen Netzwerks.

Das Setzen von QoS auf eine unangemessen niedrige Burstrate auf jeder Schnittstelle, auf der sich der vSwitch Controller befindet, kann dazu führen, dass die Kommunikation mit dem vSwitch Controller verloren geht. Dieser Kommunikationsverlust erzwingt eine Notfall-Reset-Situation.

Deaktivieren Sie die QoS-Richtlinie auf VM-Ebene, um zu verhindern, dass eine geerbte Erzwingung stattfindet.

Klicken Sie auf Portkonfigurationsänderungen speichern , um die Änderungen zu implementieren, oder klicken Sie auf Änderungen rückgängig machen , um nicht gespeicherte Änderungen zu entfernen. Die Richtlinie tritt unmittelbar nach dem Speichern in Kraft.

RSPAN konfigurieren

Warnhinweis:

Die Konfiguration von RSPAN, wenn der Server mit einem Switch verbunden ist, der VLANs nicht versteht oder nicht ordnungsgemäß für die Unterstützung des RSPAN-VLANs konfiguriert ist, kann Datenverkehrsduplizierung und Netzwerkausfälle verursachen. Überprüfen Sie die Dokumentation und Konfiguration Ihrer physischen Switches, bevor Sie die RSPAN-Funktion aktivieren. Diese Überprüfung ist besonders wichtig auf höheren Ebenen der Hierarchie, wo mehrere physische Switches beteiligt sein könnten.

Die Aktivierung von RSPAN erfordert eine Reihe von Schritten, die unten beschrieben sind:

Identifizieren Sie Ihr RSPAN-VLAN

Wenn RSPAN auf einem VIF aktiviert ist, erstellt der vSwitch für dieses VIF eine Kopie jedes Pakets, das an oder von diesem VIF gesendet wird. Der vSwitch überträgt die Kopie dieses Pakets, das mit dem VLAN-Wert als Ziel-VLAN gekennzeichnet ist. Ein Administrator platziert dann einen Host, der Überwachung durchführt, auf dem Switch-Port, der für die Verwendung des Ziel-VLAN konfiguriert ist. Wenn die Überwachungshostschnittstelle den Promiscuous-Modus verwendet, kann der gesamte Datenverkehr angezeigt werden, der an und von den für die Verwendung von RSPAN konfigurierten VIFs gesendet wird.

Konfigurieren des physischen Netzwerks mit dem Ziel-VLAN

Es ist wichtig, das physische Netzwerk korrekt zu konfigurieren, um den RSPAN-Datenverkehr zu kennen, um Netzwerkausfälle zu vermeiden. Aktivieren Sie RSPAN nur, wenn die physische Switching-Infrastruktur, die alle RSPAN-fähigen VIFs verbindet, so konfiguriert werden kann, dass das Lernen im Ziel-VLAN deaktiviert wird. Weitere Informationen finden Sie in der Dokumentation Ihres Switch-Herstellers.

Darüber hinaus muss der auf dem Ziel-VLAN gesendete Datenverkehr von jedem der vSwitches an die Überwachungshosts weitergeleitet werden. Wenn Ihre physische Infrastruktur viele Switches in einer Hierarchie enthält, muss für diese Weiterleitung das Ziel-VLAN zwischen den verschiedenen Switches abgeschaltet werden. Weitere Informationen finden Sie in der Dokumentation Ihres Switch-Herstellers.

Konfigurieren des vSwitch Controller mit dem Ziel-VLAN

Informieren Sie den vSwitch Controller über jedes Ziel-VLAN, bevor Sie diese VLAN-ID für die RSPAN-Portkonfiguration verwenden. Sie können verfügbare Ziel-VLAN-IDs auf Ressourcenpool-, Netzwerk- oder Serverebene angeben. Ziel-VLANs, die auf einer Ebene der Hierarchie hinzugefügt wurden, sind verfügbar, wenn die RSPAN-Portkonfiguration auf dieser Ebene und auf allen unteren Ebenen der Hierarchie konfiguriert wird. Die richtige Stufe zum Angeben eines Ziel-VLAN hängt davon ab, wie weit Sie Ihre physische Infrastruktur so konfiguriert haben, dass sie dieses Ziel-VLAN kennt.

So geben Sie verfügbare Ziel-VLANs an:

  1. Öffnen Sie unter Sichtbarkeit und Kontrolledie Registerkarte Statusfür alle Ressourcenpools, einen bestimmten Ressourcenpool, einen bestimmten Server oder ein bestimmtes Netzwerk.
  2. Klicken Sie im Bereich RSPAN-Ziel-VLAN-IDs auf + , und geben Sie die VLAN-ID ein.
  3. Wiederholen Sie dies, um weitere VLAN-IDs hinzuzufügen.
  4. Klicken Sie auf Ziel-VLAN-Änderung speichern.

Die VLANs stehen nun auf der Registerkarte Port-Konfiguration zur Auswahl, wie in diesem Abschnitt beschrieben.

Ändern der Portkonfiguration, um RSPAN für einen Satz von VIFs zu aktivieren

Um RSPAN-Richtlinien auf der Registerkarte Port-Konfiguration zu konfigurieren, wählen Sie den entsprechenden Knoten in der Ressourcenstruktur aus, und wählen Sie eine der folgenden Optionen:

  • RSPAN-Richtlinie vom übergeordneten Element erben (Standard): Wendet die Richtlinie von der nächsthöheren (d. h. weniger spezifischen) Hierarchieebene an.
  • Vererbte RSPAN-Richtlinie deaktivieren: Ignoriert alle Richtlinien, die auf höheren (d. h. weniger spezifischen) Ebenen festgelegt sind, so dass alle in dieser Richtlinienebene enthaltenen VIFs keine RSPAN-Konfiguration haben.
  • RSPAN-Datenverkehr auf VLAN: Wählen Sie ein VLAN aus der Liste der Ziel-VLANs aus. Die einzigen Ziel-VLANs, die in der Liste angezeigt werden, sind die VLANs, die für Richtlinienebenen konfiguriert sind, die den aktuell ausgewählten Knoten enthalten.

Konfigurieren der MAC-Adress-Spoofprüfung

Um die Erzwingung von MAC-Adressen zu deaktivieren, wählen Sie MAC-Adress-Spoofprüfung aus. Die Erzwingung kann nur auf VIF-Basis konfiguriert werden und übernimmt keine übergeordneten Konfigurationen.

Änderungen speichern

Klicken Sie auf Portkonfigurationsänderungen speichern, um die Änderungen zu implementieren, oder klicken Sie auf Änderungen rückgängig machen , um nicht gespeicherte Änderungen zu entfernen. Die Richtlinie tritt unmittelbar nach dem Speichern in Kraft.