การตั้งค่าเพื่อรับ Mirror Traffic จากภายนอกเข้า VM STA

บทนำ

เมื่อ Athena STA ถูกติดตั้งเป็น Virtual Machine บน VMware ESXi การรับ Mirror Traffic จากอุปกรณ์ภายนอก (Core Switch) เข้ามายัง VM STA ต้องมีการตั้งค่าทั้งที่ Core Switch, vSwitch และ Port Group เพื่อให้ Traffic ส่งถึง NIC ของ VM ได้อย่างสมบูรณ์

ข้อกำหนดเบื้องต้น

• VM STA ติดตั้งเรียบร้อยและมี NIC สำหรับ Mirror แยกจาก Management
• Core Switch รองรับ SPAN/Mirror Port
• Physical NIC ของ ESXi Host ที่รับ Mirror Traffic ต่อกับ Mirror Destination Port ของ Core Switch

ขั้นตอนที่ Core Switch

1. กำหนด Source Interface/VLAN ที่ต้องการ Mirror (เช่น Uplink ไป Internet, Server VLAN)
2. กำหนด Destination Port ไปยัง Physical Port ของ ESXi Host
3. ตัวอย่างคำสั่งบน Cisco: monitor session 1 source interface Gi1/0/1 both และ monitor session 1 destination interface Gi1/0/24
4. ตรวจสอบสถานะ Session ว่า Active

ขั้นตอนที่ vSwitch ของ ESXi

1. ไปที่ Networking > Virtual Switches
2. สร้าง vSwitch ใหม่สำหรับ Mirror (แนะนำแยกออกจาก vSwitch ปกติ)
3. เพิ่ม Physical NIC (vmnic) ที่ต่อกับ Mirror Destination Port เป็น Uplink
4. Save

ขั้นตอนที่ Port Group

1. สร้าง Port Group ใหม่ใน vSwitch ที่สร้างไว้ เช่น STA-Mirror
2. เปิด Security Policy ของ Port Group:
   • Promiscuous mode: Accept
   • MAC address changes: Accept
   • Forged transmits: Accept
3. หาก Core Switch ส่ง Traffic แบบ 802.1Q Trunk ให้ตั้ง VLAN ID ของ Port Group เป็น 4095 (All) เพื่อให้รับทุก VLAN
4. Save

ขั้นตอนที่ VM STA

1. แก้ไข Setting ของ VM STA
2. Map NIC ของ Mirror ไปที่ Port Group STA-Mirror
3. Save และ Reboot VM หากจำเป็น

การตรวจสอบ

• ไปที่ Web Console ของ STA หรือ NDR Platform ที่ Monitor > Traffic Statistics
• ต้องเห็น Traffic ไหลเข้ามาใน NIC Mirror ตามปริมาณที่คาดหวัง
• หากไม่เห็น Traffic ให้ตรวจสอบ Promiscuous Mode และสถานะ SPAN Session ที่ Core Switch

หมายเหตุ

• ห้ามใช้ Management NIC รับ Mirror Traffic เพราะจะทำให้ Management หลุด
• หาก Traffic มีปริมาณสูงมาก ควรพิจารณาใช้ STA Hardware Appliance แทน VM
• ดูข้อควรพิจารณาเพิ่มเติมที่ ข้อควรพิจารณาสำหรับการมิเรอร์ STA