关于NetFlow

NetFloW是一种用来监控网络和查看流经分布式交换机的虚拟机流量的网络分析工具。

NetFlow可用于分析、入侵检测和防御、网络连接取证和合规性。

vSphere Distributed Switch 支持 IPFIX（NetFlow v10）。

关于网络流

网络流是一个单向数据包序列。每个数据包共享一组通用属性。NetFlow可捕获以下类型的流：

• 内部流：代表主机内部的虚拟机流量
• 外部流：代表主机之间的虚拟机流量和物理机到虚拟机的流量

将流记录发送到NetFlow收集器以进行分析。

网络流分析

将网络流数据发送到第三方NetFlow收集器，该收集器接受并存储网络流记录。

NetFlow收集器存储基于流的数据并分析收集到的数据：

• 包括一个数据库，用于存储收集到的数据：
• 您可以调查并隔离网络带宽过度使用、瓶颈和意外应用流量。
• 您可以通过查看历史记录来诊断导致停机或泄露的原因。
• 对收集的数据进行挖掘、聚合和报告
  您可以按速率、卷和利用率来分析网络流量。
  您可以分析虚拟机和主机流量的趋势。

在分布式交换机上配置 NetFlow

您可以在分布式交换机上配置 NetFlow 设置。

要在分布式交换机上配置 NetFlow，请指定以下 NetFlow 设置：

• 收集器 IP 地址和收集器端口
• 观察域 ID
• 交换机 IP 地址

在分布式端口组上启用NetFlow

在分布式交换机上配置 NetFlow后，您可以在分布式端口组、特定端口或上行链路上激活或停用NetFlow。

关于端口镜像

端口镜像将网络数据包从源复制到目标。它具有以下用途：

• 协助排查故障
• 为网络分析设备提供输入内容

许多网络交换机供应商在其产品中实施端口镜像。

vSphere 端口镜像支持以下交换机功能：

• 交换端口分析器 (SPAN)
• 远程交换端口分析器 (RSPAN)
• 封装 RSPAN（ERSPAN）

利用 RSPAN，可以将镜像流量定向到远程监视器。

RSPAN 会话可以跨越网络上的多个交换机跃点。

使用 ERSPAN 时，会话可以跨越 IP 网络。

端口镜像会话类型

创建端口镜像会话，以将分布式交换机流量镜像到端口、上行链路和远程IP地址。您必须选择端口镜像会话类型。

• 分布式端口镜像：分布式端口之间的端口镜像只能在本地进行。如果源和目标端口因 vSphere vMotion 迁移而在不同主机上，则它们之间的镜像不工作。但是，如果源端口和目标端口迁移到同一主机上，则端口镜像将正常工作。
• 远程镜像源：在将源分布式端口从主机 A 迁移至主机 B 时，会从主机 A 上删除自源端口至主机 A 的目标上行链路的原始镜像路径。而且，还会在主机 B 上创建从源端口到主机 B 的目标上行链路的新镜像路径。具体使用哪个上行链路由会话中指定的上行链路名称确定。
• 远程镜像目标：将目标分布式端口从主机 A 移至主机 B 时，从源 VLAN 到目标端口的所有原始镜像路径都从主机 A 移至主机 B。
• 封装远程镜像 (L3) 源：将源分布式端口从主机 A 移至主机 B 时，从源端口到目标 IP 地址的所有原始镜像路径都从主机 A 移至主机 B。

端口镜像会话属性

可以根据所选的端口镜像会话类型配置一个或多个高级属性。

端口镜像会话中的源和目标

端口镜像会话需要有关源和目标的详细信息。

源详细信息包括：

• 流量方向
• 一个或多个端口ID

目标详细信息包括：

• 一个或多个端口ID
• 一个或多个上行链路
• IP address(IP 地址）