¶ VMware vSphere : Operate, Scale and Secure
Lab 9 : Utiliser le Port Mirroring
¶ Introduction
Ce Lab a pour objectif d'illustrer la documentation permettant de se préparer au passage de la certification VMWare Certified Professional - Data Center Virtualization v8 (2V0-21.23).
Plus précisément le chapitre 4 - Opérations réseau.
Cours Traité : Leçon 3 : NetFlow et Port Mirroring dans les Distributed Switches
Avant de commencer, je tiens à préciser qu'il est préférable d'avoir lu la documentation.
Avant de réaliser ce Lab j'ai dans un premier temps créé un environnement virtuel comprenant les éléments suivants :
- 1 vCenter : LAB-VCENTER-01.LAB.LOCAL
- 6 ESXi Nested : LAB-ESXI-01.LAB.LOCAL, LAB-ESXI-02.LAB.LOCAL, LAB-ESXI-03.LAB.LOCAL, LAB-ESXI-04.LAB.LOCAL, LAB-ESXI-05.LAB.LOCAL, LAB-ESXI-06.LAB.LOCAL
- 2 VMs : VM-LINUX-01 et VM-LINUX-02
Pour reproduire les Lab , il est conseillé d'avoir à disposition un environnement équivalant.
Je vais partir du principe que vous possédez un Lab à disposition.
¶ Objectif et tâches
Configurer le port mirroring et capturer le trafic réseau sur un distributed switch :
- Préparer la capture du trafic réseau miroir
- Configurer le Port Mirroring sur le Distributed Switch
- Vérifier que le Port Mirroring capture le trafic
- Restaurer la configuration du Distributed Switch
¶ Tâche 1 : Préparer la capture du trafic réseau miroir
Vous utilisez la VM VM-LINUX-01 pour capturer et surveiller le trafic miroir.
- Connectez vous à vCenter en utilisant le compte Administrator@vsphere.local.
Le compte Administrator@vsphere.local est le compte utilisateur par défaut que l'on trouve sur vCenter après son installation.
Pour se connecter il faudra utiliser cette URL : https://<vCenter_FQDN_or_IP_Address>/ui.
Dans le cas de mon Lab ça sera donc soit "lab-vcenter-01.lab.local/ui" soit l'adresse IP de vCenter.
- Ouvrir un navigateur Web et se connecter à l'URL de vCenter
- Se connecter avec l'utilisateur Administrator@vsphere.local
- Dans le menu principal, sélectionnez Inventory et cliquez sur l’icône Hosts and Clusters.
- Dans le volet de navigation, développez LAB-VCP-DCV-DATACENTER et sélectionnez LAB-VCP-DCV-COMPUTE-01.
- Dans le volet de navigation, sélectionnez la VM VM-LINUX-01.
Cette VM sera utilisée comme destination du Port Mirroring.
- Dans le volet de droite, cliquez sur Summary puis sur LAUNCH WEB CONSOLE.
-
Si vous n’êtes pas déjà connecté, connectez-vous avec l’utilisateur
root. -
Ouvrez un terminal Linux et saisissez la commande suivante :
tcpdump -nn icmp
- Cette commande permet de surveiller le trafic réseau ICMP.
- Exemple de sortie :
[root@localhost ~]# tcpdump -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
- Surveillez la sortie de la commande pendant quelques secondes et vérifiez qu’aucun trafic ICMP n’est capturé.
- La sortie de tcpdump ne contient aucune information tant qu’aucun paquet ICMP n’arrive sur le vNIC de la VM.
-
Laissez la fenêtre de la console ouverte avec la commande tcpdump en cours d’exécution.
-
Retournez à l’onglet vSphere Client.
-
Dans le volet de navigation, sélectionnez la VM VM-LINUX-02.
-
Dans le volet de droite, cliquez sur Summary puis sur LAUNCH WEB CONSOLE.
- Connectez-vous avec l’utilisateur
root
- La VM VM-LINUX-02 sera utilisée comme source du trafic à miroir.
- Ouvrez un terminal Linux et saisissez la commande suivante :
ping IP_de_la_passerelle
- Cette commande effectue un ping vers l’adresse IP du routeur par défaut.
- Si la commande ping ne fonctionne pas, redémarrez les services réseau :
service network restart
- Après redémarrage, répétez la commande ping.
-
Une fois le ping opérationnel, revenez à la console de VM-LINUX-01.
-
Dans la fenêtre de la console de VM-LINUX-01, vérifiez que la sortie de tcpdump reste silencieuse et n’a capturé aucun trafic ICMP.
¶ Tâche 2 : Configurer le Port Mirroring sur le Distributed Switch
Vous configurez le port mirroring de sorte que le port connecté à la VM VM-LINUX-02 soit la source du miroir et que le port connecté à la VM VM-LINUX-01 soit la destination du miroir.
Tout le trafic présent sur le port VM-LINUX-02 est transféré vers le port VM-LINUX-01 pour examen.
IMPORTANT : Assurez-vous que les VMs VM-LINUX-01 et VM-LINUX-02 se trouvent toutes deux sur lab-esxi-01.lab.local. Lors d’un Lab précédent, DRS a peut-être placé l’une ou l’autre VM sur un autre hôte ESXi. Dans ce cas, procédez à la Migration de la VM vers lab-esxi-01.lab.local.
- Ouvrez l’onglet vSphere Client. Dans le menu principal, sélectionnez Inventory et cliquez sur l’icône Networking.
-
Sélectionnez vds-Lab.
-
Dans le panneau de droite, cliquez sur Configure et sélectionnez Port Mirroring dans le menu de gauche.
- Ajoutez une session de port mirroring :
- Dans le panneau Port Mirroring, cliquez sur NEW.
L’assistant Add Port Mirroring Session apparaît.
- Sur la page Select session type, laissez Distributed Port Mirroring sélectionné et cliquez sur NEXT.
Lorsque vous sélectionnez ce type de session, les ports distribués ne peuvent être que locaux. Si les ports source et destination sont sur des hôtes différents, le port mirroring ne fonctionnera pas entre eux.
- Sur la page Edit properties, configurez la session de port mirroring :
Dans le menu déroulant Status, sélectionnez Enabled.
Dans le menu déroulant Normal I/O on destination ports, sélectionnez Allowed et cliquez sur NEXT.
- Sur la page Select sources, configurez la source du port mirroring :
Dans l’onglet All ports, cochez la case pour VM-LINUX-02 sous Connected Entity.
Cliquez sur NEXT.
- Sur la page Select destinations, configurez la destination du port mirroring :
Dans l’onglet All ports, cochez la case pour VM-LINUX-01 sous Connected Entity.
Cliquez sur NEXT.
- Sur la page Ready to complete, vérifiez la configuration et cliquez sur FINISH.
- Surveillez la progression jusqu’à la fin à l’aide de Recent Tasks.
Une la tâche terminée, le mirroring sera visible.
¶ Tâche 3 : Vérifier que le Port Mirroring capture le trafic
Avec le port mirroring configuré, vous pouvez consulter la sortie de la commande tcpdump et vérifier que tout le trafic ICMP apparaissant sur le port VM-LINUX-02 est dupliqué sur le port VM-LINUX-01.
-
Retournez à l’onglet console de VM-LINUX-02.
-
Vérifiez que la commande ping atteint toujours l’adresse IP du routeur par défaut.
-
Allez à l’onglet console de VM-LINUX-01.
-
Dans la console Linux de VM-LINUX-01, examinez la sortie de tcpdump dans la fenêtre du terminal.
La sortie ressemble à la capture d’écran suivante :
-
Notez l’adresse locale qui apparaît dans le trafic capturé.
Dans mon cas l’adresse locale commence par 192.168.X
-
Dans la console de VM-LINUX-01, appuyez sur Ctrl+C pour arrêter la commande tcpdump.
Si Ctrl+C ne fonctionne pas, cliquez n’importe où dans le terminal et réessayez. -
Cliquez sur l’onglet console de VM-LINUX-02.
-
Dans la console de VM-LINUX-02, appuyez sur Ctrl+C pour arrêter la commande ping.
-
À l’invite de commande de VM-LINUX-02, utilisez ip a pour examiner la configuration IP :
ip a
-
Utilisez la sortie de la commande pour vérifier que l’adresse IP de VM-LINUX-02 correspond à l’adresse notée à l’étape 5.
-
Fermez les onglets console de VM-LINUX-01 et VM-LINUX-02.
-
Éteignez VM-LINUX-01 et VM-LINUX-02 :
- Dans le menu principal du vSphere Client, sélectionnez Inventory et cliquez sur l’icône Hosts and Clusters.
- Dans le panneau de navigation, cliquez sur LAB-VCP-DCV-COMPUTE-01 et sélectionnez l’onglet VM.
- Cochez les cases pour VM-LINUX-01 et VM-LINUX-02.
- Faites un clic droit sur les VMs sélectionnées et choisissez Power > Shut Down Guest OS.
- Dans la fenêtre contextuelle, cliquez sur Yes pour confirmer l’arrêt des VMs.
¶ Tâche 4 : Restaurer la configuration du Distributed Switch
Vous restaurez la configuration du vSphere distributed switch (vds-Lab) afin de réinitialiser les modifications apportées depuis la dernière sauvegarde de la configuration.
- Dans le menu principal, sélectionnez Inventory et cliquez sur l’icône Networking.
- Dans le panneau de navigation, faites un clic droit sur vds-Lab et sélectionnez Settings > Restore Configuration.
L’assistant Restore Configuration apparaît.
- Sur la page Restore switch configuration, cliquez sur BROWSE, sélectionnez le fichier vds-Lab-backup.zip, puis cliquez sur Open.
- Laissez Restore distributed switch and all port groups sélectionné et cliquez sur NEXT.
- Sur la page Ready to complete, vérifiez les paramètres et cliquez sur FINISH.
Si vous perdez la connexion au vSphere Client, redémarrez votre navigateur Web.
- Après la restauration de la configuration du switch, vérifiez la configuration : consultez la configuration du port mirroring et assurez-vous que vds-Lab n’a aucune session configurée.
- Dans le panneau de navigation, cliquez sur vds-Lab et sélectionnez l’onglet Configure.
- Dans le panneau central, sélectionnez Port Mirroring sous Settings.
La configuration du port mirroring a été supprimée par l’opération de restauration du VDS.
Si la configuration du switch n’a pas été correctement restaurée, répétez les étapes 1 à 5.
Lab précédent : Lab 8 : Gestion des vSphere Distributed Switches
Lab suivant : Lab 10 : Visualiser une configuration de vSAN Datastore