Monitoring von Netzwerk-Traffic in VMware-Umgebungen

Um den physischen Netzwerk-Traffic zu überwachen, sehen sich IT-Profis eine bestimmte Schnittstelle an. Sprechen wir über virtuelle Netzwerke, gestaltet sich das Monitoring des Datenverkehrs schon schwieriger. 

Allerdings muss das nicht zwingend mit mehr Kosten verbunden sein. Nachdem Sie Ihre virtuelle Umgebung mit VMware sachgemäß konfiguriert haben, können Netzwerk-Profis auf kostengünstige Methoden für das Monitoring des Netzwerk-Traffics zurückgreifen.

Der Netzwerk-Traffic innerhalb einer virtuellen Maschine (VM) lässt sich überwachen und analysieren. Allerdings verbietet die Security-Richtlinie der vSwitch-Port-Gruppe per Standard, dass Sie Traffic erfassen (Capture) dürfen, der nicht zu dieser speziellen virtuellen Maschine gehört.

Abbildung 1: WireShark hilft bei der Analyse virtueller Netzwerke

Um den Traffic zu erfassen, der innerhalb des gleichen ESXi-Hosts gesendet wird, konfigurieren Sie den virtuellen Switch (vSwitch) und die Port-Gruppe entsprechend, damit die virtuellen Maschinen den so genannten Promiscuous-Modus nutzen können. 

Ist dieser Modus aktiviert, kann Monitoring-Software von Drittanbietern den Traffic von innerhalb der VM aus überwachen. Kostenlose Optionen wie WireShark (Abbildung 1) lassen sich an dieser Stelle einsetzen und knabbern dabei nicht am IT-Budget.

Den Promiscuous-Modus für eine vSwitch-Port-Gruppe zu aktivieren, ist einfach. Wählen Sie den Reiter Configuration auf dem VMware vSphere Host. Entweder erledigen Sie diesen Schritt in vCenter Server oder vSphere Client. Danach wählen Sie Networking in der Sektion Hardware aus. Klicken Sie auf die vSwitch-Einstellungen und weisen die Port-Gruppe zu, für die der Promiscuous-Modus aktiviert sein soll. Sie finden das im Reiter Security.

Wollen System-Administratoren den Netzwerk-Traffic überwachen, der in das physische Netzwerk außerhalb des vSphere-Hosts gesendet wird, müssen sie etwas mehr Aufwand betreiben.

Der physische Switch muss das Spiegeln (Mirroring) von Netzwerk-Traffic unterstützen. Die Implementierung unterscheidet sich von Marke zu Marke. Bei Switches werden Netzwerk-Pakete lediglich zu dem Switch-Port geschickt, auf dem die Ziel-MAC-Adresse (Media Access Control) lauscht. Traffic Mirroring versetzt den Switch in einen Promiscuous-Modus und der Ziel-Switch-Port kann somit jeglichen Netzwerk-Traffic empfangen und nicht nur den, der für die entsprechende MAC-Adresse bestimmt ist.

Um die Konfiguration abzuschließen, verbinden Sie den Switch-Port, der sämtlichen Traffic empfängt, mit der physischen Netzwerkkarte. Sobald sie zum ESXi-Host der virtuellen Maschine verbunden sind, können Sie mit dieser VM den Netzwerk-Traffic überwachen. Die virtuelle Maschine ist nun in der Lage, sämtlichen Traffic zu erfassen, der in das physische Netzwerk weitergeleitet wird.

Ist der Promiscuous-Modus aktiviert, können Sie mit der Analyse des Netzwerk-Traffics beginnen. Wählen Sie eine Schnittstelle (Interface), um ein Live Packet Capture (Erfassung der Pakete in Echtzeit) zu starten. Die Pakete werden mit hoher Geschwindigkeit aufschlagen. Suchen Sie nach bestimmten Informationen, konfigurieren Sie einen Filter. Damit legen Sie fest, welcher Netzwerk-Traffic für weitere Analyse erfasst werden soll.

Ihre mit VMware realisierte virtuelle Umgebung ist nun so konfiguriert, dass Sie in einem geswitchten Netzwerk Pakete erfassen und diese im Anschluss analysieren können. Wollen Sie lediglich Pakete analysieren, die die virtuellen Maschinen auf den gleichen Host sendet, ist die Prozedur simpel und Sie brauchen lediglich den Promiscuous-Modus auf dem vSwitch zu aktivieren. 

Geht es auch um Pakete, die in das physische Netzwerk wandern, muss Ihr Switch das Mirroring von Traffic an einem bestimmten Port unterstützen. Ist das nicht der Fall, können Sie kein Monitoring von innerhalb der VM aus betreiben. VMware bietet keine speziellen Tools für das Erfassen von Paketen an. Ab vSphere 5.5 gibt es zwar pktcap-uw, jedoch kann das Tool nur Pakete und Frames in der VMkernel-Schnittstellenebene erfassen und nicht an Uplink, vSwitch oder auf virtueller Port-Ebene. Deshalb müssen Sie sich auf Tools von Drittanbietern stützen, um den Traffic des virtuellen Netzwerks zu analysieren.

Folgen Sie SearchNetworking.de auch auf Facebook, Twitter und Google+!