虛擬網絡中的網絡流量分析

多年來，網絡管理員想出了很多可行的方法來分析和解決物理網絡故障，例如使用SNMP和NetFlow進行數據收集或者使用協議分析器查看原始網絡幀和數據包等。但我們現在已經進入虛擬網絡時代，這些方法還能管用嗎？好消息是，現有的網絡流量分析策略仍然可以用于虛擬網絡中，只是有一些小小的差別。

虛擬網絡并沒有那么與眾不同

虛擬網絡的工作原理與物理網絡基本相同。在很多情況下，只是網絡設備的名字改變了，例如：

◆網絡接口卡（NIC）現在被稱為“虛擬網絡接口卡”（vNIC）

◆交換機現在被稱為“虛擬交換機”（vSwitch）。vSwitch的工作原理與物理交換機非常類似，但是沒有傳統交換機中常見的配置功能（例如顯示MAC地址）。

◆每臺主機上可以創建多個vSwitch，vSwitch上的端口通常出于特定目的（例如生產或管理）被分成多個端口組。

◆在虛擬環境，完全支持VLAN，交換機端口可以使接入端口或者中繼端口，就像在物理交換機中一樣。

◆通過真實的物理服務器NIC和電纜，承載虛擬交換機的物理主機被連接到物理網絡，這在虛擬基礎設施中被稱為“上行鏈路”。

◆混雜模式、NICteaming（多網卡接入）和負載平衡等功能在虛擬環境中也有。

這些功能發生了改變：

◆不再需要生成樹協議

◆網絡流量不能從一個交換機流到同一主機的另一個交換機

◆端口組位于虛擬網絡，但不存在于物理網絡（這可能與思科SmartPort類似）

◆你無法看到連接到vNIC的虛擬交換機或者物理電纜（并且對于大多數服務器而言，你無法在配線間看到閃爍的燈光）

使用SNMP和NetFlow的虛擬網絡流量分析

正如在物理網絡基礎設施中一樣，在虛擬世界中分析網絡流量時，你需要使用SNMP或NetFlow來收集跨基礎設施的多個點的數據，然后通過網絡性能管理和監控工具來分析這些數據。常見的網絡性能監控工具包括What’’s Up Gold和Solarwinds Orion，常見的NetFlow收集器和分析器包括Plixer Scrutinizer和Solarwinds NetFlow Traffic Analyzer。

當然，你仍然可以通過元素管理器（例如HP OpenView）來進行互聯網控制消息協議（ICMP）監控，但最好先進行一定的利用率和錯誤檢查。

圖1：在vSphere中啟用NetFlow

如果你使用的是vSphere5之前的版本，你將無法利用NetFlow來監控虛擬基礎設施。然而，當你部署vSphere5之后（假設你使用的是vSphere分布式交換機版本），你可以在單個dvPort（分布式虛擬端口）或上行鏈路中，在端口組啟用NetFlow v5。

這樣操作后，你就能夠監控以下內容：

◆主機內虛擬機流量（同一主機上虛擬機到虛擬機的流量）

◆主機間虛擬機流量（不同主機上虛擬機到虛擬機的流量）

◆虛擬機到物理基礎設施的流量

SNMP只能為你提供發送和接收的網絡流量以及錯誤的基本統計信息，而NetFlow能夠提供IP配對和協議，為你顯示更詳細的信息。換句話說，你能夠看到最高流量使用者以及誰在向誰發送流量。例如，通過SNMP，你可能會看到一個網絡接口已經達到其吞吐容量的最大值，但一切僅此而已。而通過NetFlow，你可以看到HTTP正占用95%的接口利用率，而某個用戶的電腦（通過DNS查找）正在加載搖滾音樂會的視頻。當然，這些方法都無法向你顯示數據包內的情況或者允許你解碼任何數據。在《vSphere 5網絡功能-NetFlow》中，你會找到關于VMware的vSphere 5 Netflow部署的更相信的信息。

圖2：用于vSphere的Xangati

最好的vSphere網絡性能監控和故障診斷工具之一是Xangati for vSphere（免費）以及Xangati管理儀表板。這兩個版本都使用NetFlow來收集虛擬基礎設施的數據，同時結合vCenter的其他傳統性能指標，為vSphere基礎設施提供非常強大的性能監控和故障處理工具。該工具免費版本只能監控一臺主機，而管理儀表板允許你從單個接口同時監控多臺主機以及虛擬網絡。

請注意，如果你正在使用Hyper-V，而不是vSphere，微軟已經宣布在Windows Server 2012 Hyper-V中，這個可擴展虛擬交換機將支持添加開源Hyper-V sFlow代理，它以后可以通過sFlow收集器來監控，例如InMon sFlowTrend工具等。

通過數據包解碼的虛擬網絡流量分析

如果你想從虛擬網絡來進行數據包解碼呢？為了在物理網絡進行深度數據包檢測（DPI），你需要將協議分析器（例如，在筆記本電腦上運行的分析器）連接到交換機端口，然后配置SPAN（或者RSPAN，如果流量在不同的交換機上）來從單個交換機端口、多個端口或整個VLAN映射流量。

現在，大多數數據中心的服務器都被虛擬化了，很多流量甚至都不會經過物理網絡，所以傳統數據包捕捉方法只有在某些情況下適用，例如分析互聯網連接或者到iSCSI SAN的連接。

在vSphere之前，使用虛擬基礎設施，你在虛擬機上運行協議分析器，創建一個新端口組，并將其配置為混雜模式（使所有數據包發送到所有端口），然后將這個你想要分析的虛擬機轉移到該端口組（出于安全考慮，你不會想在生產端口組啟用混雜模式）。想要獲取更詳細信息，請參閱我的另一篇文章“在VMware vSphere虛擬網絡使用網絡數據包分析器”（如果你仍然在使用vSphere 4.x或者你有vSphere 5，但沒有分布式虛擬交換機，這篇文章就適用于你）。

在vSphere Enterprise Plus版中，端口鏡像功能讓你可以快速簡單地鏡像任何dvPort到另一個端口，或者你可以選擇一個VLAN來封裝這些鏡像數據包，這可以通過在配置分布式虛擬交換機端口鏡像時勾選“封裝VLAN”框來實現。

在被啟用后，端口鏡像將提供以下可視性：

◆主機內虛擬機流量（同一主機上虛擬機到虛擬機的流量）

◆主機間虛擬機流量（不同主機上虛擬機到虛擬機的流量）

圖3：配置vSphere 5端口鏡像

想了解如何配置vSphere端口鏡像，請參閱這篇《vSphere 5網絡功能：端口鏡像》。如果你是Hyper-V用戶，請注意，在Hyper-V 3中，端口鏡像是可擴展交換機的新功能。

當你的服務器被虛擬化后，分析和解決網絡故障與在物理網絡的物理服務器中執行相同的任務并沒有太大區別。根據你需要的詳細信息程度不同，你有兩種不同的方法來實現這一點。對于高水平流量分析和瓶頸識別而言，使用NetFlow是最佳選擇，如果你想在虛擬基礎設施中執行深度數據包分析，你可以選擇使用協議分析器的端口鏡像方法。
 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]