Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为镜像配置流量分析器和数据包捕获

Contrail 提供流量镜像功能,因此您可以将指定的流量镜像到流量分析器,从而在其中执行深度流量检测。流量镜像允许您将某些流量指定到流量分析器,您可以在其中非常详细地查看流量。

本节介绍如何设置数据包捕获以将流量数据包镜像到分析器。

流量分析器图像

在使用 Contrail 界面配置流量分析器和数据包捕获以进行镜像之前,请确保系统的虚拟机映像列表中提供了以下分析器映像。流量分析器图像得到了增强,可以在Wireshark中查看捕获的数据包的详细信息。为流量分析器创建策略时,流量分析器实例应始终在策略中选择 镜像 到字段,不要为流量分析器选择 应用服务 字段。

  • analyzer-vm-console-qcow2 — 标准流量分析器;应在映像列表中命名为 分析器 。这种类型的流量分析器始终配置有单个接口,并且该接口应为 Left 接口。

  • analyzer-vm-console-two-if qcow2 — 这种类型的流量分析器有两个接口:“ 左”“管理”。此流量分析器可以具有除名称分析器之外的任何名称,该名称分析器是为单接口 分析器保留的。

注意:

这些 analyzer-vm 映像对所有版本的 Contrail 都有效。从 Contrail 1.0 软件下载页面下载图像: https://www.juniper.net/support/downloads/?p=contrail#sw

配置流量分析器

Contrail 控制器使您能够将捕获的数据包流量镜像到流量分析器。请按照以下步骤镜像捕获的数据包流量:

  1. 在主机上配置分析器。

  2. 设置数据包捕获规则。

您可以使用 配置>网络>服务来设置流量镜像。有关更多信息,请参阅 使用配置>网络>服务设置流量镜像

使用配置>网络>服务设置流量镜像

按照以下步骤使用 配置>网络>服务设置流量镜像。

  1. 访问 配置>服务>服务模板

    将显示 “服务模板 ”屏幕;参见 图 1

    图 1:服务模板 Service Templates
  2. 要创建新的服务模板,请单击 + 图标。

    此时将显示 “创建 ”窗口。选择“服务模板”选项卡;参见 图 2

    图 2:创建服务模板 Create Service Template
  3. 使用 表 1 中的准则填写字段。
    表 1:创建服务模板字段

    领域

    描述

    名字

    输入此服务模板的描述性文本名称。

    版本

    从下拉列表中选择“ v2 ”以指示此服务模板基于模板版本 2,对 Contrail 3.0 及更高版本有效。

    虚拟化类型

    从下拉列表中选择“ 虚拟机 ”以指示此模板镜像的虚拟化类型。

    服务模式

    从下拉列表中选择“透明”以指示此服务模板用于 透明 镜像。

    服务类型

    从下拉列表中选择分析器以指示此服务模板适用于流量 分析器

    接口

    从下拉列表中,单击复选框以指示用于此分析器服务模板的接口类型:

    • 离开

    • 管理

    完成后,单击“ 确定 ”提交更改

    取消

    单击 “取消 ”以清除字段并重新开始。

  4. 通过单击 服务实例 链接并单击 + 图标来创建服务实例。

    出现 “创建 ”窗口;确保选中“服务实例”选项卡。参见 图 3

    图 3:创建服务实例 Create Service Instances
  5. 使用 表 2 中的准则填写字段。
    表 2:创建服务实例字段

    领域

    描述

    名字

    输入此服务实例的文本名称。

    服务模板

    从可用服务模板的下拉列表中选择要用于此服务实例的模板,在本例中为分析器-服务-模板。

    接口类型

    在服务模板中为此实例配置的每个接口都显示在一个列表中。

    虚拟网络

    从可用虚拟网络的下拉列表中为实例配置的每个接口选择网络。

    单击 “保存 ”以提交更改。

    取消

    单击 “取消 ”以清除更改并重新开始。

  6. 若要为此服务实例创建网络策略规则,请单击“ 配置>网络>策略”。此时将显示“ 策略 ”窗口。点击 + 图标进入 创建 窗口;参见 图 4
    图 4:创建策略 Create Policy

  7. 输入策略的名称,然后单击屏幕下方的 + 图标为策略配置规则,请参见 图 5
    图 5:创建策略规则 Create Policy Rules
  8. 要添加策略规则,请使用 表 3 中的准则填写字段。
    注意:

    当有网络策略附加到虚拟网络时,为分析器配置的任何冲突规则都不会生效。

    表 3:添加规则字段

    领域

    描述

    行动

    选择“通过”或“拒绝”作为规则操作。

    协议

    选择策略规则的协议,或选择“任何”。

    从多个下拉列表中选择此规则的源,包括 CIDR、网络、策略或安全组下的选项。

    港口

    从下拉列表中选择规则的源端口。

    方向

    选择要捕获的数据包的流向:

    • <>(双向)

    • >(单向)

    目的地

    从多个下拉列表中选择此规则的目标,包括 CIDR、网络、策略或安全组下的选项。

    港口

    从列表中选择要捕获的数据包的目标端口。

    复选框

    选中适用于此规则的任何框:日志、服务、镜像、QoS。

    单击 “保存 ”以提交更改。

    取消

    单击 “取消 ”以清除更改并重新开始。

  9. 完成后,单击 保存
  10. 要验证数据包捕获,请在配置 > 服务>服务实例中,选择分析器 服务实例,然后单击查看 控制台

    此时将显示数据包捕获;参见 图 6。分析器服务 VM 在启动并捕获发往此服务的镜像数据包时启动 Contrail 增强型 Wireshark。

    图 6:服务实例视图控制台 Service Instances View Console