网络传感器部署的组网要求

现在你们已经复习了物理和虚拟Insight Network Sensor主机的要求,您可以探索配置网络流量源的选项。

为了使Insight Network Sensor监控您的网络流量并生成您的Insight产品将使用的元数据,它必须有一种方法来接收从聚合位置穿越您的网络的包流的副本。这个专门用于网络传感器的包流被称为网络流量源。

网络流量源配置选项

下面的网络基础设施组件可以为您的网络传感器提供它运行所需的网络流量源。

切换端口分析仪(SPAN),或镜像端口

端口镜像是一种网络交换机特性,它将所有网络流量的副本输送到单个输出交换机端口。端口镜像技术根据交换机制造商的不同有不同的名称,但思科的交换机端口分析仪实现(也称为SPAN)是最常见的一种。

小贴士-理解跨度

你可以阅读更多关于SPAN的Cisco文档资源:

https://www.cisco.com/c/en/us/support/docs/switches/catalyst-6500-series-switches/10570-41.html?dtid=osscdc000283

您的网络可能已经使用了至少一个具有此功能的核心交换机。由于这个原因,将镜像端口配置为网络流量源通常是网络传感器部署的理想选择。

测试接入点(TAP)

在没有镜像端口配置选项的情况下,您也可以部署一个或多个测试接入点(TAP)设备作为网络流量源,供网络传感器使用。

与在核心交换机上复制网络流量的镜像端口不同,TAP是一个单独的设备,您通常会将其部署在防火墙和交换机之间,以复制网络流量并将其发送到监控工具。水龙头在功能上与镜像端口实现相同的目标,但通常只在较小的环境中需要,因为网络的连接需求不能保证镜像端口核心交换机的规模。

网络包代理(NPB)

网络包代理(NPB)是一种更智能的工具,它允许您的网络根据您的需要向多个监控应用程序发送不同的网络流量流。NPBs可以从镜像端口和TAP源接收网络流量。

如果您打算将网络传感器作为其他监控设备或应用程序的附加或补充流量监控工具部署,NPB可以为网络传感器提供其专用的网络流量源,而不影响您现有的监控基础设施。

虚拟网络流量源

如果要虚拟化网络传感器主机,可以通过在虚拟交换机上启用“混杂模式”来创建网络流量源。类似于物理网络中的镜像端口,混杂模式允许您的虚拟网络传感器主机读取通过ESXi管理程序的虚拟交换机的所有网络流量。

最终,您的监视意图将决定您应该如何配置虚拟流量源。的部署类别在这个文档集中特别考虑了以下两个场景。

东西虚拟交通监控

在这种情况下,您的虚拟网络传感器将只负责监控ESXi管理程序的虚拟环境中的网络流量。对于这个用例,您可以通过在一个由您想要监视的虚拟机组成的ESXi端口组上启用混杂模式来配置您的虚拟网络流量源。您的虚拟网络传感器主机的网络流量源NIC将与其他实例连接到相同的虚拟交换机,以查看它们的网络流量。

虚拟和物理流量监控

在这种情况下,您的虚拟网络传感器将有更大的范围来监视您的虚拟ESXi环境和通过核心交换机连接的物理基础设施。对于这个用例,您的虚拟网络传感器主机需要连接到两个虚拟交换机

  • 到主虚拟交换机的一个连接已经提供到现有虚拟机的连接。
  • 一个连接到备用虚拟交换机(您必须创建)的连接,配置为混杂模式并专用于网络传感器的使用。
    • 这个新的虚拟交换机作为您的虚拟网络流量源。

次级虚拟交换机将虚拟网络传感器主机连接到物理镜像端口,在物理环境和虚拟环境之间创建一个流量汇聚区。