การตั้งค่า Traffic Mirroring บน SCP

บทนำ

Traffic Mirroring เป็นฟีเจอร์สำหรับการ copy และ forward network traffic ของ virtual machine หรือ network device ไปยัง SCP egress เพื่อทำการ traffic filtering และ monitoring ผ่านอุปกรณ์ security review ภายนอก ฟีเจอร์นี้รองรับการ mirror traffic ภายใน virtual network, จาก virtual network ไปยัง physical network และระหว่าง physical network ports

ข้อกำหนดเบื้องต้น

ไม่มีข้อกำหนดเบื้องต้นเพิ่มเติม

ข้อควรระวัง

• Mirror rule source object สามารถเลือกได้สูงสุด 1024 interfaces
• Target object สามารถเลือกได้เพียง 1 virtual machine interface หรือ network device interface
• หาก virtual machine/network device interface หรือ physical host service port ถูกใช้เป็น source object จะสามารถอยู่ใน traffic mirroring policy ได้เพียง 1 policy เท่านั้น แต่หากใช้เป็น destination object สามารถอยู่ได้หลาย policy
• ไม่รองรับการ mirror จาก physical network ไปยัง virtual network
• แนะนำให้ตั้งค่า rule น้อยกว่า 100 rules เนื่องจากจำนวน rule ที่เพิ่มขึ้นจะทำให้ delay เพิ่มและ throughput ลดลง
• VM ที่อ้างอิงโดย traffic mirror รองรับการ migration ภายใน resource pool เดียวกัน และ traffic mirror จะยังคงทำงานหลังการ migration
• ในสถานการณ์ high-load แนะนำให้วางแผนใช้ physical NIC แยกสำหรับ traffic mirroring
• เมื่อ mirror ไปยัง physical service port ต้องกำหนด VLAN ให้ตรงกับ VLAN ที่อนุญาตบน physical switch (trunk port)
• Mirroring across resource pools รองรับเฉพาะใน communication domain เท่านั้น

ขั้นตอนการตั้งค่า

ขั้นตอนที่ 1: เข้าสู่ระบบ SCP แล้วไปที่ Networking > Traffic Mirroring เลือก resource pool สำหรับ traffic mirroring แล้วคลิกปุ่ม New เพื่อสร้าง traffic mirroring policy

ขั้นตอนที่ 2: กำหนดค่าต่อไปนี้ในหน้า Create Traffic Mirroring Policy:

• Name: ตั้งชื่อ policy
• Mirror Source: กำหนด source ตามประเภทการ mirror
  • Internal traffic mirroring of virtual network: เลือก interface ของ virtual machine/network device
  • Mirror virtual network traffic to physical network: เลือก interface ของ virtual machine/network device
  • Traffic mirroring between physical network ports: เลือก service port ของ physical node
• Mirror Target: กำหนด target ตามประเภทการ mirror
  • Internal traffic mirroring of virtual network: เลือก interface ของ virtual machine/network device
  • Mirror virtual network traffic to physical network: เลือก service port ของ physical node
  • Traffic mirroring between physical network ports: เลือก service port ของ physical node
• VLAN ID: กำหนด VLAN ID สำหรับ mirrored packets (ไม่จำเป็นสำหรับ Internal Traffic Mirroring)
• Mirror Percent: กำหนดสัดส่วนของ traffic ที่จะ mirror (ค่าเริ่มต้น 100% หมายถึง mirror traffic ทั้งหมด)
• Traffic Direction: เลือกทิศทาง traffic ที่ต้องการ mirror
  • All: mirror traffic ทั้ง inbound และ outbound
  • Inbound: mirror เฉพาะ traffic ที่รับเข้า
  • Outbound: mirror เฉพาะ traffic ที่ส่งออก
• Status: เลือก Enable เพื่อให้ policy มีผลบังคับใช้

ขั้นตอนที่ 3: คลิก OK เพื่อบันทึก policy หลังจากตั้งค่าเสร็จ network traffic จาก source object จะถูก mirror ไปยัง target object ตาม policy ที่กำหนด

การตรวจสอบ

ตรวจสอบรายการ Traffic Mirroring policy ที่หน้า Networking > Traffic Mirroring เพื่อยืนยันว่า policy ถูกสร้างและมีสถานะ Enabled ถูกต้อง ตรวจสอบว่า Mirror Source, Mirror Target, Mirror Percent และ Traffic Direction แสดงค่าตามที่ตั้งค่าไว้

หมายเหตุ

• Traffic ที่ถูก capture โดย DFW และ traffic ที่ถูกจำกัดโดย QoS จะถูก capture และ forward โดย traffic mirroring
• เฉพาะ business traffic เท่านั้นที่จะถูก capture เมื่อ multi-network integration network port เป็น mirroring source
• เมื่อ service port ที่เชื่อมต่อกับ physical egress ถูกแก้ไข physical service port ใน traffic mirroring rule จะเปลี่ยนตามไปด้วย

บทความที่เกี่ยวข้อง

• การติดตั้ง Virtual Machine Security Agent (aSEC)
• การจัดการ Physical Machine บน SCP
• การตั้งค่า Host Health Monitoring บน SCP
• การจัดการ Virtual Machine บน SCP