我们正在设置镜像/span/rspan/erspan,以便将流量(DC 在 ESX 群集中作为虚拟机运行)传送到我们的 Microsoft ATA 服务器。我们遇到的问题是传统的 RSPAN 无法正常工作,因为所有单播消息都被阻止在 UCS 机箱(VMware 所在的位置)的 Fabric 互连中。一些搜索表明,实际上没有办法通过 Fabric 互连运行 L2 RSPAN,只能与 FI 进行本地镜像会话。
因此,进入 ERSPAN,基本上将数据包封装在 GRE 中并将它们发送到第 3 层目的地。当使用 wireshark 作为目的地时,这非常有效,因为它足够智能,可以剥离 GRE 并显示数据包。然而,Microsoft ATA“目前不支持 ERSPAN”,并且需要通过交换机/路由器对 GRE 进行解封装。
我们现在尝试做的是在 Nexus 7k 上设置 ERSPAN 目标,然后监控与物理接口的会话并将其作为原始数据包传递给 ATA。以前有人使用过这种配置吗?我从 Cisco 找到了一个示例配置,但我不确定 eRSPAN 会话 ID 应该填什么,或者它是否必须匹配任何东西。
除了设置一个 Linux 主机来终止 GRE 然后镜像之外,有人有什么想法吗?
(粗略物理网络、集群 FI、集群 4500x、1 Nexus 7k、2 线卡)。
DC---VMware---VDS(ERSPAN 源)---- 结构互连 ----- Cisco 4500X ----- Nexus 7k(ERSPAN 目标)--- Microsoft ATA
答案1
您真的希望所有往返于域控制器的多余流量都经过所有网络设备吗?所有封装、解封装和迂回路由实际上都会限制您的吞吐量,并为需要共享该网络的所有其他设备留下更少的可用带宽。
我会仔细考虑如何将 ATA 网关与域控制器放在同一个 VLAN 中。ATA 网关与域控制器的比例不必是 1:1,但话又说回来,这当然是可以的。
您说得对,Microsoft ATA 目前不支持直接接收 ERSPAN 流量。它必须首先要解封装。要支持这种类型的网络设置,您只需有设置某种设备(Linux 主机、交换机、路由器、任何事物该网关配备一个能够解封装 ERSPAN 流量的设备,然后再将其转发到 ATA 网关。
抱歉,我知道这是您说过不想做的一件事,但我看不到其他选择。