Table of ContentsViso geral do laboratrio - HOL-1829-01-NET -
Como comear com o vRealize
NetworkInsight...............................................................................................................................
2
Orientao de laboratrio
.......................................................................................
3Mdulo 1: Microssegmentao e segurana (30 minutos)
................................................ 8
Introduo...............................................................................................................
9Introduo microssegmentao
.........................................................................
11Concluso
.............................................................................................................
50
Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45
minutos)
.......................51Introduo.............................................................................................................
52Total visibilidade e soluo de problemas de rede
................................................ 53Concluso
.............................................................................................................
89
Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos)
.......................91Introduo.............................................................................................................
92Operaes de gerenciamento avanado do NSX
.................................................. 93Simulao
interativa dos laboratrios prticos: gerenciamento e operaesavanados
do NSX
..............................................................................................
105Concluso
...........................................................................................................
106
Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS)
(30
minutos)107Introduo...........................................................................................................
108Introduo ao Gerenciamento da segurana para as nuvens pblicas
(AWS).....109Concluso
...........................................................................................................
128
HOL-1829-01-NET
Page 1HOL-1829-01-NET
Viso geral do laboratrio- HOL-1829-01-NET -Como comear com o
vRealize Network Insight
HOL-1829-01-NET
Page 2HOL-1829-01-NET
Orientao de laboratrioObservao: A concluso deste laboratrio
levar aproximadamente 90minutos. Espera-se que voc termine apenas
dois dos mdulos durante essetempo se voc no tiver experincia com o
vRealize Network Insight. Osmdulos so independentes uns dos outros
para que voc possa comeardesde o incio de cada um e prosseguir de
onde parou. Use o ndice paraacessar qualquer mdulo sua escolha.
Ele pode ser acessado no canto superior direito do Manual do
laboratrio.
Neste laboratrio, sero apresentadas aos alunos uma viso geral e
uma demonstraode como usar o vRealize Network Insight. Este
laboratrio se concentra em quatrocapacidades especficas e em dois
cenrios de caso de uso. O primeiro mdulo introduza microssegmentao
e a segurana em redes, seguido pelo mdulo dois, que fornecerum
passo a passo do mapa detalhado de um fluxo em tempo real
proporcionando umaviso completa para sobreposies e subposies entre
plataformas. O Mdulo 3 seconcentra no NSX Manager e fornece uma
anlise aprofundada de como gerenciamosoperaes NSX avanadas no
vRealize Network Insight. O Mdulo 4 se concentra nogerenciamento da
segurana para as nuvens pblicas (AWS).
Lista de mdulos de laboratrio:
Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2:
Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo
3: Gerenciamento e operaes avanados do NSX (45 minutos) Mdulo 4:
Gerenciamento da segurana para as nuvens pblicas (AWS)
(30 minutos)
Responsvel pelo laboratrio:
Mdulo 1-4: Atif Qadeer, engenheiro de sistemas snior do NSX,
ReinoUnido
Este manual do laboratrio pode ser obtido por download no site
de Documentos delaboratrio prtico em:
[http://docs.hol.pub/HOL-2017]
Este laboratrio pode estar disponvel em outros idiomas. Este
documento podeorient-lo pelo processo de definir sua preferncia de
idioma e ter um manual localizadoimplantado com seu laboratrio:
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
HOL-1829-01-NET
Page 3HOL-1829-01-NET
public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/[http:/docs.hol.pub/HOL-2017]http://docs.hol.vmware.com/announcements/nee-default-language.pdf
Localizao do Console principal
1. A rea na caixa VERMELHA contm o Console principal. O Manual
do laboratrioest na guia direita do Console principal.
2. Um laboratrio especfico pode ter outros consoles em guias
separadas na partesuperior esquerda. Se necessrio, voc ser
direcionado para abrir outro consoleespecfico.
3. Seu laboratrio comea com 90 minutos no cronmetro. No possvel
salvar olaboratrio. Voc deve fazer todo o seu trabalho durante a
sesso do laboratrio.No entanto, possvel clicar em EXTEND para
estender o tempo. Se voc
estiver em um evento da VMware, poder estender o tempo do
laboratrio duasvezes, por no mximo 30 minutos. Cada clique
acrescenta 15 minutos. Excetopelos eventos da VMware, voc pode
estender o tempo do seu laboratrio por nomximo nove horas e 30
minutos. Cada clique acrescenta uma hora.
Mtodos alternativos de entrada de dados por teclado
Durante este mdulo, digite o texto no Console principal. Alm da
digitao direta, hdois mtodos muito prticos que facilitam a entrada
de dados complexos.
Clique e arraste o contedo do manual do laboratrio paraa janela
ativa do console
Voc tambm pode clicar e arrastar textos e comandos da interface
de linha decomando diretamente do Manual do laboratrio para a
janela ativa no Console principal.
Acesso ao teclado internacional on-line
HOL-1829-01-NET
Page 4HOL-1829-01-NET
Voc pode tambm usar o teclado internacional on-line do Console
principal.
1. Clique no cone de teclado que fica na barra de tarefas de
Incio Rpido doWindows.
Clique uma vez na janela ativa do console
Neste exemplo, voc utilizar o teclado on-line para inserir o
sinal "@" usado emendereos de e-mail. Nos layouts de teclado dos
Estados Unidos, pressione Shift+2 parainserir o sinal "@".
1. Clique uma vez na janela ativa do console.2. Clique na tecla
Shift.
Clique na tecla @
1. Clique na "tecla @".
Observe o sinal @ inserido na janela ativa do console.
HOL-1829-01-NET
Page 5HOL-1829-01-NET
vRealize Network Insight: navegao
1 - "HOME": use esta opo se precisar retornar tela de navegao e
pesquisaoriginal
2 - Painel de navegao 3 - Barra de pesquisa incluindo linha do
tempo 4 - Painel de detalhes e informaes 5 -
Alertas/pinboards/configuraes
Solicitao ou marca d'gua de ativao
Quando voc iniciar o laboratrio pela primeira vez, talvez
observe uma marca d'guana rea de trabalho, que indica que o Windows
no est ativado.
Um dos principais benefcios da virtualizao que as mquinas
virtuais podem sermovidas e executadas em qualquer plataforma. O
Hands-on Labs utiliza esse benefcio,e possvel execut-lo em vrios
data centers. No entanto, esses data centers podem
HOL-1829-01-NET
Page 6HOL-1829-01-NET
no ter processadores idnticos, o que aciona uma verificao de
ativao da Microsoftpela Internet.
A VMware e os Hands-on Labs esto em total conformidade com os
requisitos delicenciamento da Microsoft. O laboratrio que voc est
usando um pod autocontido eno tem o acesso completo Internet
necessrio para que o Windows verifique aativao. Sem o acesso
completo Internet, esse processo automatizado falha, e amarca d'gua
exibida.
Esse problema superficial no afeta seu laboratrio.
Observe a parte inferior direita da tela
Verifique se foram concludas todas as rotinas de inicializao do
seu laboratrio e seele est pronto para voc comear. Se aparecer algo
diferente de "Ready", aguardealguns minutos. Aps cinco minutos, se
o laboratrio ainda no aparecer como"Ready", pea ajuda.
HOL-1829-01-NET
Page 7HOL-1829-01-NET
Mdulo 1:Microssegmentao e
segurana (30 minutos)
HOL-1829-01-NET
Page 8HOL-1829-01-NET
IntroduoQuando empresas de mdio a grande porte implantam o NSX,
muitas vezes elas tmdificuldade para definir o nvel de
microssegmentao necessrio entre aplicativos nasredes. A parte mais
desafiadora saber quais informaes so necessrias paracomear, como
localizar as informaes, medir trfego e como capturar os
resultados.
O vRealize Network Insight ajuda a resolver esse problema ao
analisar e categorizar asVMs em grupos lgicos com base em
caractersticas especficas de processamento erede. Esse processo
gera automaticamente um modelo recomendado de grupos desegurana e
regras de firewall especficas para cada grupo. Isso facilita muito
a vida dosarquitetos e engenheiros de segurana.
O vRealize Network Insight (vRNI) utiliza o coletor IPFIX na
camada do Switch virtualdistribudo para capturar os fluxos de
dados. Ativamos o IPFIX na camada do Switchvirtual distribudo para
os Hosts ESXi e encaminhamos os pacotes UDP do IPFIX para
oappliance do vRealize Network Insight. A captura de dados
possibilitar fluxo de dadosem tempo real para todo o trfego de
porta e fornecer recursos de filtragemadicionais para explorar o
trfego leste-oeste.
Temos dois cenrios para ajudar a explicar como o vRealize
Network Insight pode serutilizado para garantir que tenhamos
visibilidade total e detalhada para implantarregras de firewall a
fim de realizar a microssegmentao sem precisar fazeradivinhaes.
Cenrio 1: (implantao em data centers existentes) o cliente ABC
adquiriu o ESXi e oNSX e no tem uma compreenso clara de como
implantar de forma operacional ascargas de trabalho existentes com
proteo de firewall leste-oeste ou como segmentara carga de
trabalho. O cliente no usar o vRealize Network Insight para
observar ofluxo de dados em tempo real entre portas para criar as
regras de firewall leste-oeste. Oprocesso do vRealize Network
Insight observar os padres de trfego com base nofluxo de dados
capturado; em seguida, sero feitas recomendaes para proteger
ascargas de trabalho para a comunicao leste-oeste. O firewall e a
microssegmentaoatuais podem tambm ser verificados.
Cenrio 2: (redes novas) o cliente ABC tem um novo projeto de
desenvolvimento paraDevOps e no saberia quais seriam as recomendaes
ou regras de firewall imediatas.Com o uso do vRealize Network
Insight, poderamos comear imediatamente amonitorar o fluxo de dados
em tempo real medida que cada implantao edesenvolvimento ocorre.
Com base nas informaes de DevOps, podemos agora aplicaras regras de
firewall no estgio de QA e nos preparar para testes a fim de
garantir que,quando movermos as cargas de trabalho para Produo,
tenhamos seguranaoperacional de dia zero para trfego leste-oeste no
data center.
OBSERVAO: O NSX no necessrio em nenhum estgio para capturar,
observar oudefinir com xito as regras de firewall leste-oeste. O
processo de planejar a segurana
HOL-1829-01-NET
Page 9HOL-1829-01-NET
somente utiliza o IPFIX e a camada vDS para capturar e observar
o fluxo de dados entreportas.
Este mdulo contm as seguintes lies:
Identificar as regras de firewall para microssegmentao Topologia
de grupo de segurana Rastreamento de uma regra de firewall Exportao
de regras de firewall para o NSX Manager (Simulao interativa)
Concluso
HOL-1829-01-NET
Page 10HOL-1829-01-NET
Introduo microssegmentaoEsta seo contm as seguintes lies:
Identificao das regras de firewall para microssegmentao
Topologia de grupo de segurana Rastreamento de uma regra de
firewall
Verificao de status do laboratrio
1. Antes de continuar, certifique-se de que o status do
laboratrio exibe Ready.
Feche as sesses do navegador dos mdulos anteriores
Abra o Google Chrome
1. Abra o Chrome na rea de trabalho do Centro de controle.
Observao: O Internet Explorer no funciona e no certificado para
uso com ovRealize Network Insight no momento deste lanamento.
HOL-1829-01-NET
Page 11HOL-1829-01-NET
Selecione vRealize Network Insight Favorite
1. Selecione o atalho vRNI na barra de favoritos (se o vRealize
Network Insight nocarregar automaticamente)
HOL-1829-01-NET
Page 12HOL-1829-01-NET
vRealize Network Insight: tela de login
Faa login no portal
1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique
em Login para continuar
HOL-1829-01-NET
Page 13HOL-1829-01-NET
mailto:[email protected]
Planejamento da segurana
Quando o login no portal do vRealize Network Insight for
concludo, a primeira telaexibir uma barra de pesquisa na parte
superior
1. Digite plan security (a barra de pesquisa usa preenchimento
automtico, e umtexto previsto exibido enquanto voc digita).
2. Selecione o cone de tempo.
HOL-1829-01-NET
Page 14HOL-1829-01-NET
Planejamento da segurana: especifique uma predefinio
1. Selecione Presets.2. Selecione Last Week.3. Clique no cone de
pesquisa para continuar.
HOL-1829-01-NET
Page 15HOL-1829-01-NET
Viso geral: distribuio de trfego (painel esquerdo)
A representao visual do trfego mostrada para compreender o
relacionamentolgico entre cada componente, fsico ou virtual, a fim
de rastrear fluxos e sesses emuma rede:
Fluxos internos/fluxos externos Fluxos protegidos/fluxos
desprotegidos por VLAN ou VXLAN
O padro para essa visualizao "Last 1 day" No altere essa opo,
pois jespecificamos o filtro de tempo.
HOL-1829-01-NET
Page 16HOL-1829-01-NET
Distribuio de trfego: viso geral (painel direito)
A seo Distribuio de trfego explicada em um formato de nmero
abaixo. Useestas informaes como referncia e no clique nos links
neste estgio.
A - Esta a soma de todos os fluxos de trfego, com a porcentagem
exibidacomo trfego somente leste-oeste.
B - Isso indica a porcentagem de trfego que foi alternada. C - A
porcentagem de trfego que roteada entre as portas leste-oeste. D -
Isso indica que o trfego de mquina virtual para mquina virtual como
uma
porcentagem da soma no ponto nmero 1. E - O trfego observado
entre mquinas virtuais no mesmo host. F - O Trfego que exige acesso
Internet.
Leste-oeste (EW) - Trfego
Para visualizar detalhes especficos sobre fluxos de dados,
clique em qualquer um dosseis blocos para obter informaes
detalhadas sobre fluxos e sesses (use o [x] nocanto direito para
fechar a observao ao concluir para continuar com a prxima etapa
HOL-1829-01-NET
Page 17HOL-1829-01-NET
deste laboratrio). importante compreender a distribuio de fluxos
e sesses paracriar uma estratgia baseada no ambiente real a fim de
atingir a microssegmentao.
Uma Sesso tem cinco listas ordenadas de objetos, tambm chamadas
de tuplas, (aporta de origem uma das cinco listas, o que significa
que toda vez que uma novaconexo TCP estabelecida e encerrada, uma
nova sesso gravada).
Um Fluxo uma agregao de sesses compostas de quatro ao invs de
cinco tuplas -como a porta de origem muito dinmica (amplo alcance e
mudanas contnuas) ela ignorada e o fluxo combinar as tuplas
restantes em uma nica lista ordenada deobjetos. Assim, contanto que
vrias sesses tenham o mesmo IP de origem, o mesmo IPde destino, a
mesma porta de destino e o mesmo protocolo, elas sero combinadas
emum registro chamado fluxo.
Portanto, milhares de sesses em um dia entre duas mquinas em uma
porta de destinoespecfica (ssh, dns etc.) seriam combinadas em um
fluxo com um nmero agregado depacotes, bytes e sesses entre elas,
registrados como informaes adicionais de fluxo.
Em qualquer empresa, o nmero de sesses que ocorrem em um dia
varia muito. Osfluxos so unidades mais gerenciveis e so importantes
principalmente para definiesde polticas de microssegmentao.
Se algum desejar ver estatsticas desses fluxos, como bytes
transferidos, nmero desesses, ou at mesmo usar esses contadores
junto com outras operaes de consultapara outra anlise de nvel mais
alto (como a determinao da distribuio de um fluxode sada de mquinas
virtuais por IP de destino), os contadores de mtrica a seguirpodero
ser usados:
Nomes de contador
allowed sessions: nmero de sesses (ou cinco tuplas) que
correspondem a um fluxo(quatro tuplas)bytes: volume de trfego total
trocado no fluxo (essa soma de dois contadores descritaabaixo)src
bytes: nmero total de bytes enviado por src_ip do fluxo para
dst_ip:port:protocoldst bytes: nmero total de bytes recebidos por
src_ip do fluxo de dst_ip:port:protocol
1. Clique no bloco de trfego leste-oeste
Isso exibir uma nova janela com anlise detalhada do trfego.
HOL-1829-01-NET
Page 18HOL-1829-01-NET
Leste-oeste (EW) - Visualizao detalhada
Esses so apenas alguns dos 1.653 fluxos, mas os filtros e vistas
detalhadas podem serusados para restringir informaes mais
especficas.
A - Sem clicar (apenas passe o mouse) na linha de tempo para ver
a taxa de fluxoindicada pela linha verde para o perodo
1. Clique no cone de fechar (x) para continuar.
HOL-1829-01-NET
Page 19HOL-1829-01-NET
Servios/portas
Localizao da tela Services/Ports para a prxima etapa
HOL-1829-01-NET
Page 20HOL-1829-01-NET
Servios/portas - Visualizao de linha do tempo
O planejamento da segurana faz uso da viso geral Service/Ports
no lado direito datela. A tela da visualizao de servio usada para
observar o fluxo de cada servio,analisando uma taxa de fluxo
especfica em dado perodo de tempo. As linhas de tempopodem ser
ajustadas para obter uma melhor compreenso do que a consulta
"plansecurity" fornece. Este mdulo seguir as etapas necessrias para
observar e rastrearfluxos, utilizando como exemplo o fluxo para a
porta 5443.
1. Clique em Show Data.
HOL-1829-01-NET
Page 21HOL-1829-01-NET
Servios/portas - Servio num dado perodo de tempo
A seo Services oferece uma viso geral dos fluxos por uma porta
especfica em umperodo de tempo, por bytes ou por sesses permitidas.
Observe a rea destacadaem vermelho para compreender como o fluxo
visualizado em um formato dinmico,assim garantindo que uma taxa de
fluxo possa ser fornecido ao passar o mouse sobreuma determinada
seo.
1. Passe o mouse para ressaltar o bloco azul sobre a porta 5443
e observeque ele apresenta, sob demanda, a soma total para as
ltimas 24 horasdos fluxos em gigabytes (GB) que se comunicam pela
porta 5443
2. Clique no bloco na interseo de "Last 24 hours" e "PORTS 5443"
paraobter uma visualizao detalhada das informaes
HOL-1829-01-NET
Page 22HOL-1829-01-NET
Fluxos para a porta 5443
Com a visualizao "Fluxo pela porta 5443 nas ltimas 24 horas",
vemosdetalhadamente a distribuio de 20 fluxos listados por
entidade. Voc pode rolar parabaixo e examinar o trfego detalhado.
Mais filtros podem ser usados no lado esquerdoda tela para
visualizar um tipo de resultado mais especfico.
1. Clique na entrada para examinar o fluxo detalhado entre
Prod-DB-3 e Prod-DB-2 pela porta 5443 (a ordem dos fluxos pode ser
diferente da exibida na telaacima. Prod-DB-3 e Prod-DB-2 pode ser a
stima entrada)
HOL-1829-01-NET
Page 23HOL-1829-01-NET
Flow Key Properties: visualizao da linha do tempo
"Flow Key Properties" e "Flow Key Metrics", com a ajuda da linha
do tempo, oferecemuma maior compreenso do trfego entre essas duas
VMs especficas pela porta 5443.(A) - Passe o mouse sobre qualquer
parte do grfico Flow Key Metrics para ver asestatsticas do fluxo em
um ponto especfico do tempo.
1. Clique em 1M (ltimo 1 ms). Agora passe o mouse sobre as
linhas verdes/azuispara ver um fluxo especfico em dado perodo de
tempo.
HOL-1829-01-NET
Page 24HOL-1829-01-NET
Flow Key Properties: visualizao da linha do tempo
1. Clique uma vez no boto voltar do navegador para retornar tela
plansecurity layout (depois de concluir a visualizao das linhas do
tempo parafluxos especficos).
HOL-1829-01-NET
Page 25HOL-1829-01-NET
Microssegmentos
A tela deve estar de volta e com foco na visualizao Plan
Security. Vamos nosconcentrar no lado esquerdo da tela plan
security marcada como Micro-Segments.Esta seo se concentra na
visualizao de subnets e em como elas podem ser usadaspara rastrear
fluxos entre dois ou vrios pontos.
Observao: Os fluxos de segmentao podem ser acessados usando
visualizaesque se concentraro em VLAN/VXLAN, subnet, pasta,
clusters, VMs, portas, tagde segurana ou grupos de segurana.
1. Selecione Last 1 Day (para limpar o intervalo de dados
anterior)2. Selecione o menu e, em seguida, selecione by Subnet.3.
Podemos analisar mais detalhadamente os microssegmentos por
grupos
secundrios (essa etapa apenas para informao)4. Clique em Analyze
para que os dados sejam preenchidos
HOL-1829-01-NET
Page 26HOL-1829-01-NET
Foco na rede 10.17.8.0
A - Passe o mouse (no clique) sobre a rede 10.17.8.0 e observe
que eladestacar imediatamente todos os fluxos e sesses com origem
ou destino nessesegmento de rede. Outros tipos de trfego perdero o
foco neste ponto assumindo a corazul-clara.
A visualizao "Keep Focus" cria um diagrama mostrando a comunicao
com recursosfsicos compartilhados, a Internet e outras sub-redes.
Os parnteses aps a redeindicaro o nmero de mquinas virtuais. As
linhas coloridas indicaro um fluxoconectado como
OUTGOING/INCOMING/BIDIRECTIONAL
HOL-1829-01-NET
Page 27HOL-1829-01-NET
Foco: VLAN/VXLAN
Para rastrear fluxos entre Prod-Web e Prod-Midtier, vamos trocar
a visualizao porSubnet para a por VLAN/VXLAN. Isso exibir o fluxo
do trfego e nos mostrar as regrasde firewall recomendadas.
1. No filtro, selecione a opo VLAN/VXLAN (a visualizao ser
atualizadaautomaticamente).
HOL-1829-01-NET
Page 28HOL-1829-01-NET
Foco: Prod-Web (25)
1. Passe o mouse sobre Prod-Web2. Clique em Keep Focus, pois
seguiremos o trfego desse grupo para ver quais
portas esto em uso e por qu.3. Clique na linha que une o
Prod-Web e o Prod-Midtier.
HOL-1829-01-NET
Page 29HOL-1829-01-NET
Fluxos: Prod-Web a Prod-Midtier
(A) - Neste ponto j identificamos 14 endpoints ou fluxos
exclusivos que estotrafegando por ou para grupos de segurana
potenciais. Esses grupos de segurana sobaseados em VLANs, pastas,
sub-redes ou uma estrutura que pode ser definida ecustomizada.
1. Clique nas regras de firewall recomendadas.
Fluxos: regras de firewall recomendadas
Com base na anlise observada do fluxo do trfego entre Prod-Web e
Prod-Midtier, umaregra de firewall recomendada foi gerada para
proteger e segmentar o trfego dorestante da VLAN/VXLAN.
HOL-1829-01-NET
Page 30HOL-1829-01-NET
Devido s mtricas de observao de fluxo, a recomendao (ALLOWED) na
porta8080 entre SG Prod-Web e SG-Prod-Midtier.
1. Clique em fechar (x) para continuar.
Vrias portas e regras de firewall para Prod-web
1. Clique no grupo Prod-Web.
Servios e fluxos para Prod-Web
No foco, so apresentados aos usurios todos os servios, fluxos e
regras de firewallpara Prod-Web em um nico painel.
1. Clique em Services In this group: 50 endpoints ou fluxos de
servio exclusivosque esto sendo trafegados por ou para grupos de
segurana potenciais somapeados com taxas de trfego includas.
HOL-1829-01-NET
Page 31HOL-1829-01-NET
2. Clique em External Services Accessed: essa uma diviso dos 16
endpoints deservio externos que se comunicam com o Prod-Web e
incluem as informaes deporta (DNS, HTTPS etc.).
3. Clique em Recommended Firewall Rules: com base nos 50
endpoints deservio exclusivos, que tm 17 servios externos com 425
fluxos, podemos usarmtricas para determinar quais regras de
firewall so necessrias. Neste caso,temos a definio de 6 regras de
firewall como a abordagem de segmentaomnima recomendada para o
grupo Prod-Web.
4. Clique em fechar (x) para continuar.
Microssegmentao centrada no aplicativo
Um aplicativo uma coleo de camadas. Cada uma uma coleo de VMs
baseadasno critrio de filtro definido pelo usurio. Os aplicativos
permitem que voc crie um
HOL-1829-01-NET
Page 32HOL-1829-01-NET
grupo hierrquico de VMs e visualize trfego/fluxos entre as
camadas do mesmoaplicativo. O trfego ou fluxos podem ser
visualizados tambm entre aplicativos.
1. Em Micro-segments, clique no menu com o nome by VLAN/VXLAN2.
Clique em "by Application"
1. Passe o mouse sobre Prod-App (47) (no clique neste estgio)2.
Clique em Keep Focus
Voc pode ver, de acordo com o mostrado no exerccio anterior, os
fluxos Outgoing,Incoming e Bidirectional personalizados para
Prod-App. Quando voc clica nomicrossegmento Prod-App, os servios so
revelados.
Exploraremos agora como podemos definir um aplicativo.
HOL-1829-01-NET
Page 33HOL-1829-01-NET
Definir um aplicativo
1. Na barra de pesquisa, digite Application2. Clique no boto
Search
1. A pesquisa de aplicativos retornar quatro entidades, ou seja,
aplicativos jcriados no sistema para voc.
2. Essa pgina tambm permite que voc crie um novo aplicativo.
Clique em AddApplication
1. Em Application Name , digite HOL-Pre-Prod
HOL-1829-01-NET
Page 34HOL-1829-01-NET
2. Em Tier , digite o Nome como HOL-Pre-Prod3. Nosso critrio de
pesquisa ser baseado em VM Names em Virtual Machines/
IP Addresses. Digite "Admin-VM1", "Admin-VM2" (a pesquisa
preencherautomaticamente os nomes para voc)
4. No salve, clique em Cancel, que levar voc para a tela
anterior
1. Nela, voc poder ver que o nmero de entidades aumentou em um;
ou seja,cinco entidades.
2. Voc poder ver tambm Hol-Pre-Prod na lista.
HOL-Pre-Prod ser exibido agora na seo Application em Plan
Security (no abordadaneste laboratrio)
Grupo de segurana "Prod_MidTier"
Os administradores e arquitetos de rede enfrentam desafios
dirios na identificao deparmetros/grupos de segurana que esto em
vigor, exigindo muito mais detalhessobre a topologia do continer
antes de continuar a executar ou planejar amicrossegmentao. Vamos
analisar como isso seria possvel em uma visualizaonica que tem
integrao detalhada com redes de sobreposio e subposio.
1. Usando a barra de pesquisa, digite Nsx Security Group
'Prod_MidTier' (abarra de pesquisa usa preenchimento automtico, e
um texto previsto exibidoenquanto voc digita).
2. Clique em Search para continuar.
HOL-1829-01-NET
Page 35HOL-1829-01-NET
A tela Help pode aparecer (nesta configurao de laboratrio) para
garantir que ousurio tenha uma orientao instantnea, chamada
Security Group Pinboard. O motivopara este guia identificar a
visualizao de detalhes e o layout da topologia. Leia oguia de ajuda
e, quando concluir:
1. Clique em fechar (x) para continuar.
Resultados: PROD_MIDTIER
Os resultados da consulta exibiro Prod_Web na parte superior da
tela. O resultadoexibido tambm incluir Translated VM Count e todas
as regras associadas
1. Clique em Prod_MidTier para continuar.
HOL-1829-01-NET
Page 36HOL-1829-01-NET
Grupo de segurana Prod_MidTier: linha do tempo
Explicao da visualizao do grupo de segurana
O Grupo de segurana oferece uma visualizao detalhada do mesmo e
uma listagemabrangente de propriedades e eventos importantes. A
Topologia oferece uma visogeral visual de como o grupo de segurana
est associado aos outros contineres. Ocontrole deslizante Timeline
na parte superior da vista atual permitir que o estadonum
determinado perodo do tempo do grupo de segurana e dos filtros
possa serusado para um foco maior em um aspecto determinado do
objeto.
HOL-1829-01-NET
Page 37HOL-1829-01-NET
Topologia de firewall do grupo de segurana
(A) A Topologia de firewall do grupo de segurana esquerda exibe
a topologia dogrupo "Prod_MidTier"
(B) A Topologia de continer do grupo de segurana direita mostra
todo equalquer grupo filho e pai em relao a Prod_Web. Isso
identificar o aninhamento e ahierarquia dos grupos de segurana.
HOL-1829-01-NET
Page 38HOL-1829-01-NET
1. Clique e selecione Prod_Web to Prod_Midtier Rule (ser aberta
uma tela pop-up, abordada na prxima etapa)
HOL-1829-01-NET
Page 39HOL-1829-01-NET
1. Na tela pop-up, podemos ver imediatamente a aparncia do fluxo
de servio deorigem e de destino nesse exemplo. Isso pode ser feito
para todo e qualquersegmento anexado a Prod_Web e fornecer todas as
informaes de Topologia defirewall do grupo de segurana atual. Voc
pode clicar em todos os segmentospara compreender completamente
cada grupo de segurana relacionado.
2. Clique em fechar (x) em qualquer menu pop-up que voc tenha
aberto durantea anlise para seguir para o prximo exerccio.
HOL-1829-01-NET
Page 40HOL-1829-01-NET
Rastreamento de Prod_MidTier
1. Na mesma visualizao, quando voc rola para baixo (abaixo da
Topologiade firewall), possvel ver as seguintes informaes de evento
de segurana paraProd_Web:
A: Events: mostram qualquer alterao em Prod_MidTier (direta ou
indireta) e oimpacto que elas geram nesse grupo de segurana
B: Security Group Configuration e o Firewall Rules Count tambm
fornecem maisassistncia para gerenciar os endpoints.
C: VMs in Security Group garante visibilidade para que
gerenciemos nossas cargasde trabalho e a segmentao com o nvel
correto de eficincia.
HOL-1829-01-NET
Page 41HOL-1829-01-NET
D: Indirect Firewall Rules garantir que voc compreenda o impacto
herdado e ocomunicaes que terminam no Prod_Web.
E: Direct Firewall Rules - OBSERVAO: Os links azuis exibiro
detalhes adicionaisde cada segmento de firewall.
Este mdulo explicou o fluxo do trfego entre sub-redes e ou
VLAN/VXLAN paraProd_MidTier e compreendemos a anlise que compe as
regras de firewall. Asinformaes de uma segmentao especfica de uma
mquina virtual em Prod_MidTierpodem ser visualizadas usando as
informaes de switch lgico para Prod_MidTier.
1. Clique em Lab-Midtier (VMs em Security Group>Logical
Switches>Lab-Midtier);uma nova GUIA se abrir na parte superior
da tela.
Lab-Midtier
HOL-1829-01-NET
Page 42HOL-1829-01-NET
1. Passe o mouse (no clique) sobre (1) Prod-Web-9, com o foco
neste objeto,o caminho de comunicao gerado.
Este o fluxo completo do Prod-Web-9 (exemplo), possvel
visualizar como um fluxo rastreado da sobreposio para a subposio no
Prod-Web.
No clique em nenhuma das bolhas, pois elas so usadas somente
para referncia.
A - Os detalhes do host para Lab-Midtier-1
-ddc1-pod2esx035.dm.democompany.net
B - O nome da mquina no Lab-Midtier - Lab-Midtier-1 C - Grupo de
portas virtuais distribudas - DVPG D - VXLAN - Lab-Midtier E -
Primeiro VMKNIC para host DDC-1 F - Porta de switch DVS G - Switch
DVS H - Por fim, exibindo a conexo L3 com o Arista em
10.254.146.132-MGMT
1. Quando terminar com a visualizao atual, feche esta guia no
Chrome eretorne para a visualizao original.
Regra de firewall: rastreamento
Usando a barra de pesquisa, demostraremos como voc pode rastrear
qualquer regrade firewall em seu ambiente. Este apenas um exemplo
de como podemos procurarobjetos relacionados segurana com uma
pesquisa simples e tambm exportar osresultados obtidos.
Pesquisa de porta
1. Digite na barra de pesquisa
Firewall rule where action ='ALLOW' and Port=443 (a barra de
pesquisa usa preenchimentoautomtico, e um texto previsto exibido
enquanto voc digita).
HOL-1829-01-NET
Page 43HOL-1829-01-NET
1. Clique em Search para continuar.
medida que digitar, observe as diferentes combinaes de consultas
que podem seragrupadas.
Exportao de regras de firewall
Reserve um tempo para compreender e se familiarizar com as
possibilidades destabusca e os insights que ela oferece.
1. No clique - O resultado agrupado para convenincia e permite
que o usurioconsulte cada regra individualmente. Esse um link ao
vivo que exibirinformaes adicionais.
2. No clique - O relatrio inteiro pode ser exportado usando a
opo Save as CSVno canto superior direito da tela, mas no
exportaremos nenhuma informaoneste ponto.
3. Para a prxima etapa, retornaremos barra de pesquisa
superior.
HOL-1829-01-NET
Page 44HOL-1829-01-NET
Alterao de associao da regra de firewall
Usando a barra de pesquisa do vRealize Network Insight, na parte
superior da tela,vamos nos concentrar em uma busca baseada em tempo
para ver que alteraes deassociao no firewall ocorreram durante um
perodo selecionado. Isso indicarqualquer alterao feita de forma
direta ou indireta como resultado das alteraes deassociao. Isso
extremamente til para auditoria e soluo de problemas.
1. Tipo
Alterao de associao da regra de firewall
1. Selecione a janela Date/Time.2. Clique em Presets. Selecione
Last 30 Days (o uso de dados estticos garantir
que voc veja todas as alteraes).3. Clique em Search.
HOL-1829-01-NET
Page 45HOL-1829-01-NET
Regra de auditoria: alteraes de associao de regra defirewall
Agora, a pesquisa exibe o resultado de todas as alteraes feitas
na associao de regrade firewall durante o intervalo de datas
predefinido. Isso crucial para processos derastreamento e de
auditoria de alteraes para compreender exatamente por que,quando e
como as regras de firewall foram alteradas.
Agora, fcil fazer o rastreamento e a auditoria das alteraes, alm
de export-las,seguindo qualquer dos links ao vivo em azul.
HOL-1829-01-NET
Page 46HOL-1829-01-NET
Evento definido pelo usurio
Continuando na mesma tela, os usurios podem criar alertas para
notificar entidadesinternas e externas sobre qualquer alterao. O
recurso de alerta est disponvel pormeio de qualquer visualizao que
exiba o cone de alerta. Embora o alerta possa serconfigurado para
esse laboratrio, no haver ao referente aos resultados pois osdados
so estticos. Esta seo mostrar como fcil relatar qualquer alterao
deassociao de regra de firewall. A opo para alerta estar disponvel
imediatamente,dentro de uma hora ou como uma seleo diria.
1. Clique no cone Notifications para criar um evento. A tela de
notificaes serexibida.
2. A notificao e os parmetros podem ser ajustados conforme
necessrio.Preencha-os com suas preferncias, pois precisaremos de
informaes a fim desalvar o alerta e visualiz-lo em etapas
posteriores.
3. Depois de terminar, clique em Save.
HOL-1829-01-NET
Page 47HOL-1829-01-NET
Configuraes
Voc pode visualizar qualquer dos seus eventos definidos pelo
usurio configuradosanteriormente para editar ou ativar os parmetros
do evento usando a pgina deconfiguraes. As alteraes feitas podem
ser configuradas para notificar os membrosdo grupo de eventos com
base na preferncia do usurio. O evento que voc criouanteriormente
pode agora ser rastreado usando a barra de pesquisa na parte
superiorda tela.
1. Clique na barra de pesquisa e digite Settings.2. Clique em
User-defined Events (seu alerta observado nesta seo pois
baseou-se na pesquisa original e na notificao de alerta
"Firewall rulemembership change").
3. Somente para informaes - No clique - Visualizar/Editar/Ativar
qualquernotificao.
Observe que temos dois tipos de notificaes: User-defined e
System Events.
4. Clique em System Events.
HOL-1829-01-NET
Page 48HOL-1829-01-NET
Notificaes do sistema
Os eventos do sistema consistem em 103 alertas padro
pr-configurados. Role a listapara baixo para ver todas as opes e o
que considerada uma notificao de eventode sistema padro.
Cada notificao pode ser usada para alertar administradores ou
usurios do grupo. Porpadro, todas as Notificaes do sistema so
definidas como nunca notificar (isso podeser alterado para
imediatamente, dentro de uma hora ou como uma seleo diria).
Com isso, conclumos este mdulo. Siga para o prximo mdulo.
HOL-1829-01-NET
Page 49HOL-1829-01-NET
ConclusoParabns por concluir o Mdulo 1.
Neste mdulo, apresentamos as etapas mnimas necessrias para
facilitar aMicrossegmentao. Este mdulo demostrou como atingimos a
prontido de dia zero,rastreamento, relatrio e alerta em cada objeto
individual ou grupo de objetos emtempo real. Usando o trfego
leste-oeste neste mdulo, o vRealize Network Insightdestacou a
facilidade de adquirir anlise de rede e usar isso para gerar regras
defirewall automaticamente para implantaes novas e existentes.
Principais fatos a ser lembrados conforme demonstrado neste
mdulo:
Persistncia: diante de mudanas constantes, a segurana deve ser
consistente Onipresena: a segurana deve estar disponvel em todos os
lugares Extensibilidade: a segurana deve se adaptar a novas
situaes
Para obter informaes adicionais sobre a funcionalidade
demonstrada neste mdulo,acesse www.vmware.com
Feche o navegador Chrome.
Com isso, este mdulo est concludo; siga para o prximo.
Para obter mais informaes
Como encerrar o laboratrio
Para encerrar o laboratrio, clique no boto END ou em um mdulo da
lista acima paracontinuar.
HOL-1829-01-NET
Page 50HOL-1829-01-NET
http://tinyurl.com/hdtaz6m
Mdulo 2: Visibilidadecompleta de redes
virtuais e fsicas (45minutos)
HOL-1829-01-NET
Page 51HOL-1829-01-NET
IntroduoO vRealize Network Insight inclui tcnicas de anlise
avanadas que podem sercoletadas e dados de configurao de exibio de
todos os componentes envolvidos nasobreposio e na subposio da rede.
Os dados so coletados em tempo real.
O vRealize Network Insight apresenta isso por meio de uma
interface de usuriointeligente e simplifica a determinao dos
problemas, bem como a visibilidade dasconfiguraes de firewall e
rede.
Este mdulo contm as seguintes lies:
Total visibilidade e soluo de problemas de rede Pesquisa de
linguagem simples
HOL-1829-01-NET
Page 52HOL-1829-01-NET
Total visibilidade e soluo deproblemas de redeEsta seo contm as
seguintes lies:
Visualizao completa do fluxo de dados entre dois objetos de VM
Pesquisa de linguagem simples
Abra o Google Chrome
1. Abra o Chrome na rea de trabalho do Centro de controle.
Observao: O Internet Explorer no funciona e no certificado para
uso com ovRealize Network Insight no momento deste lanamento.
Selecione o favorito vRealize Network Insight
1. Selecione o atalho vRNI na barra de favoritos (se o vRealize
NetworkInsight no carregar automaticamente).
HOL-1829-01-NET
Page 53HOL-1829-01-NET
vRealize Network Insight: tela de login
Faa login no portal.
1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique
em Login para continuar.
Caminho e topologia
Este mdulo utilizar o recurso "Path and Topology" no vRealize
Network Insight paraobter uma visibilidade completa de seu cenrio
de rede prprio. A visualizao "Pathand Topology" pode tambm ter
suporte estendido para hosts, redes L3, grupos desegurana etc., mas
neste mdulo s nos concentraremos no caminho (Path).
HOL-1829-01-NET
Page 54HOL-1829-01-NET
No console principal:
1. Clique em "Path and Topology".2. Clique em "Path".
Path: selecione origem e destino
Na caixa pop-up:
1. Clique no campo cinza abaixo de "Source".2. Digite "dba" no
campo de origem, e "DBAdmin-VM1" ser exibido.3. Clique em
"DBAdmin-VM1" para selecion-lo.
HOL-1829-01-NET
Page 55HOL-1829-01-NET
Path: continuao de origem e destino
Aps selecionar a mquina de origem, a caixa de destino ser
exibidaautomaticamente.
1. Digite "prod" no campo de destino, e a lista de opes
disponveis serexibida.
2. Selecione "Prod-Db-2".
Observao: O destino pode tambm ser um endereo IP ou a Internet,
mas nestelaboratrio vamos usar uma VM.
HOL-1829-01-NET
Page 56HOL-1829-01-NET
Path: continuao de origem e destino
1. Clique em Submit.
Procura do caminho
Com base nas VMs que selecionamos no assistente nas etapas
anteriores, o campo depesquisa agora preenchido com uma string de
pesquisa. Como alternativa ao uso doassistente, podemos tambm fazer
pesquisas manuais.
No altere nenhum parmetro no campo de pesquisa e siga para a
prxima etapa.
HOL-1829-01-NET
Page 57HOL-1829-01-NET
VM Path Topology e VM Underlay
A topologia envolve os componentes da Camada 3 e da Camada 2 e
consiste em duasvisualizaes detalhadas.
1. VM Path Topology: esta visualizao detalha os roteadores, as
bordas ou osroteadores de distribuio lgica (LDRs, Logical
Distributed Routers) que estoenvolvidos no caminho de rede de VM
para VM e fornece o roteamento completoe as informaes de NAT
2. VM Underlay: (a seo VM Underlay, que fica no lado direito da
topologia decaminho da VM, mostra as informaes de subposio das VMs
envolvidas e a
HOL-1829-01-NET
Page 58HOL-1829-01-NET
conectividade delas com a parte superior dos switches de suporte
e das portasenvolvidas)
No campo com o nome "VM Path Topology":
1. Clique nos trs pontos no canto superior esquerdo do campo.2.
Clique em Maximize.
A visualizao ser alterada, e a rota ser desenhada no mapa.
HOL-1829-01-NET
Page 59HOL-1829-01-NET
Topologia de caminho da VM: Path Details
Nesta visualizao, teremos uma viso completa da rede fsica e
virtual. Veremos ocaminho do trfego entre duas mquinas virtuais. A
seta preta na parte superior domapa indica a direo do fluxo do
trfego. Neste caso de uso de "DBAdmin-VM1" para"Prod-Db-2".
No lado direito, os detalhes do caminho indicam as etapas pelas
quais passamos emcada salto do caminho. O fluxo lgico inclui
elementos fsicos e virtuais, exibindo oscomponentes de sobreposio e
subposio.
1. Role pelos detalhes do caminho no lado direito para verificar
os diferentessaltos no caminho. Observe que temos itens como VMs,
switches fsicos, switchesvirtuais, roteadores e NICs na lista de
detalhes.
HOL-1829-01-NET
Page 60HOL-1829-01-NET
Viso geral dos componentes
No mapa de topologia da VM:
1. Clique no cone superior esquerdo marcado com um quadrado
vermelho:a mquina virtual "DBAdmin-VM1".
HOL-1829-01-NET
Page 61HOL-1829-01-NET
Mquina virtual: detalhes
Uma caixa pop-up ser exibida com os detalhes da mquina virtual.
Essas informaesincluem muitos detalhes disponibilizados por VMware
Tools. Por exemplo, podemos veras informaes de rede e o host fsico
nesses detalhes.
A - Dedique algum tempo para obter uma viso geral das informaes
disponveis.
B - Observe que o status do firewall indica "Unknown". Neste
cenrio, no h firewall doNSX utilizado na VM, por isso o vRealize
Network Insight exibe "Unknown" como status.Se forem utilizados
componentes do NSX, mas houver mal funcionamento, umamensagem de
erro ser exibida.
1. Ao terminar a anlise, feche as janelas pop-up clicando no (X)
no canto superiordireito.
HOL-1829-01-NET
Page 62HOL-1829-01-NET
Hosts ESXi fsicos
Agora, analisaremos o host fsico que executa o ESXi. Os blocos
verdes grandes indicamos hosts ESXi (A) e (B)
1. Clique no campo verde grande no lado esquerdo do mapa
(marcado naimagem com um quadrado vermelho). Isso selecionar o host
no qual "DBAdmin-VM1" est em execuo.
HOL-1829-01-NET
Page 63HOL-1829-01-NET
Host: detalhes
Uma caixa pop-up que contm o host ESXi fsico ser exibida.
A - Dedique algum tempo para analisar quais informaes esto
disponveis sobre ohost. No clique em nenhum dos links.
B - Observe que recebemos informaes do Chassis e da Blade nos
quais esse host ESXiest sendo executado. Em um ambiente real,
poderamos clicar nos links para obterinformaes detalhadas sobre o
ambiente fsico.
C - Observe que no h componentes do NSX no host. Por exemplo,
podemos ver que o"Control Plane Sync Status" "unknown", e o "Number
of VTEP's" zero.
1. Ao terminar a anlise, clique no (X) no canto superior
direito.
HOL-1829-01-NET
Page 64HOL-1829-01-NET
DVPG no mapa
Vamos analisar o DVPG (Grupo de portas virtuais distribudas) que
a VM usa para seconectar rede.
1. No mapa, clique na pequena caixa azul marcada por um
quadradovermelho em vlan-629.
DVPG
HOL-1829-01-NET
Page 65HOL-1829-01-NET
Uma caixa pop-up que contm os detalhes do DVPG ser exibida.
A - Dedique algum tempo para analisar quais informaes do objeto
esto disponveis.No clique em nenhum dos links.
B - Observe que IPFIX est ativado
1. Ao terminar a anlise, clique no (X) no canto superior
direito.
VLAN-629 no mapa
Esta uma rede existente, conforme indicado pelos componentes da
rede fsicaexibidos no mapa.
1. No mapa, clique na linha cinza marcada por um quadrado
vermelho(vlan-629).
HOL-1829-01-NET
Page 66HOL-1829-01-NET
Rede VLAN
Uma caixa pop-up que contm os detalhes da VLAN ser exibida.
A - Dedique algum tempo para analisar as informaes disponveis.
No clique emnenhum dos links.
B - Observe o VLAN ID. Essa a VLAN real em uso.
C - VM Count informa 12. Este o nmero de VMs localizadas nessa
VLAN no ambienteinteiro.
D - Em Hosts podemos ver que so 28 (27+1). Essa a quantidade de
hosts que tmuma conexo com essa VLAN no ambiente inteiro.
1. Ao terminar a anlise, clique no (X) no canto superior
direito.
HOL-1829-01-NET
Page 67HOL-1829-01-NET
Portas de switch no mapa
1. No mapa, clique no cone marcado com um quadrado vermelho
paraselecionar a porta de switch da VM.
Porta de switch
Uma caixa pop-up que contm os detalhes da Porta de switch ser
exibida.
HOL-1829-01-NET
Page 68HOL-1829-01-NET
Nessa visualizao, estamos apenas analisando a camada 3 e a
conectividade com osdispositivos da camada 3. Posteriormente neste
mdulo, veremos alguns dosdispositivos de camada 2.
A - Dedique um tempo para analisar quais informaes esto
disponveis. No cliqueem nenhum dos links.
B - Nesta visualizao, podemos ver a NIC fsica de onde o trfego
est sendotransmitido e recebido. Neste cenrio, uma NIC em um malha
do UCS. Podemostambm ver as VLANs, a velocidade da interface, a
porta e outros detalhes da NIC.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
VRF fsico no mapa
1. No mapa, clique no cone marcado com um quadrado vermelho
paraacessar os detalhes do VRF fsico.
HOL-1829-01-NET
Page 69HOL-1829-01-NET
VRF: switch fsico
Uma caixa pop-up que contm os detalhes do VRF fsico ser
exibida.
A - Dedique algum tempo para analisar as informaes disponveis.
No clique emnenhum dos links.
B - Neste cenrio, o primeiro salto na perspectiva da rede fsica
um Cisco Nexus 7000.Estamos coletando todos os dados de configurao,
as tabelas de roteamento e asinformaes da interface de roteamento
desse dispositivo.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
HOL-1829-01-NET
Page 70HOL-1829-01-NET
VRF: continuao
1. No mapa, clique no cone marcado com um quadrado vermelho
paraacessar o prximo VRF fsico do caminho.
HOL-1829-01-NET
Page 71HOL-1829-01-NET
VRF: roteador fsico
HOL-1829-01-NET
Page 72HOL-1829-01-NET
Um pop-up que contm os detalhes do VRF fsico ser exibida.
Neste cenrio, o segundo salto na perspectiva da rede fsica um
roteador Palo Alto(PA-5060). Nesta visualizao, veremos a tabela de
roteamento, bem como regras defirewall. A plataforma vRealize
Network Insight to avanada que essas regras defirewall so as
aplicveis entre os dois objetos que procuramos. Provavelmente,
havermilhares de regras de firewall em uma rede normal, mas essas
so as que afetam acomunicao entre as duas VMs selecionadas.
A - Dedique algum tempo para analisar quais informaes esto
disponveis. Noclique em nenhum dos links.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
Observao: A integrao do Palo Alto demonstrada est em beta
nomomento de criao deste laboratrio.
VRF: continuao
1. No mapa, clique no cone marcado com um quadrado vermelho
paraacessar o prximo VRF fsico do caminho.
HOL-1829-01-NET
Page 73HOL-1829-01-NET
VRF: switch fsico
Um pop-up que contm os detalhes do VRF fsico ser exibida.
HOL-1829-01-NET
Page 74HOL-1829-01-NET
A - Dedique algum tempo para analisar quais informaes esto
disponveis. Noclique em nenhum dos links.
B - Neste cenrio, o terceiro salto na perspectiva da rede fsica
um dispositivo Arista.H informaes disponveis sobre roteamento,
gateways, interfaces etc. Esses detalhesdemonstram que podemos
monitorar dispositivos de uma diversidade de fornecedores,caso
estejamos trocando de um fornecedor para o outro.
1. Ao terminar a anlise, clique no (X) no canto superior
direito.
Acesso infraestrutura virtual
As prximas duas etapas do caminho (conforme mostrado pelas
setas) so iguais sanalisadas anteriormente neste mdulo. No vamos
examinar os detalhes delas nestecenrio, pois so similares aos j
discutidos anteriormente.
A - Passe/mova o mouse sobre os cones marcados com a seta
vermelha A sem clicar nocone. Observe o nome descritivo.
B - Passe/mova o mouse sobre os cones marcados com a seta
vermelha B sem clicar nocone. Observe o nome descritivo.
HOL-1829-01-NET
Page 75HOL-1829-01-NET
1. No mapa, clique no cone marcado com um quadrado vermelho
paraacessar o prximo VRF do caminho.
VRF - Provider Edge 1 do NSX
HOL-1829-01-NET
Page 76HOL-1829-01-NET
Uma caixa pop-up que contm os detalhes do VRF ser exibida.
A - Dedique algum tempo para analisar quais informaes esto
disponveis. Noclique em nenhum dos links.
B - Os componentes que estamos analisando aps o dispositivo
Arista (descrito emetapas anteriores) um cluster do NSX Edge ou um
host associado com um cluster doEdge. O componente que selecionamos
a VM do NSX Edge com o nome Provider-Edge1. Ele tem um uplink pela
VLAN 10 da rede fsica (conforme mostrado no mapa).
C - Nos detalhes, podemos ver os detalhes da tabela de
roteamento e da interface deroteamento para esse VRF especfico.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
VXLAN no mapa
1. No mapa, clique na linha azul marcada por um quadrado
vermelho paraacessar os detalhes da VXLAN.
HOL-1829-01-NET
Page 77HOL-1829-01-NET
Rede VXLAN
Uma caixa pop-up que contm os detalhes da VXLAN ser exibida.
A - Dedique algum tempo para analisar quais informaes esto
disponveis no objeto.No clique em nenhum dos links.
B - Podemos ver o nmero da VXLAN (Segment ID), Underlay VLAN
IDs, Subnet eUnderlay Subnet
C - Tambm temos visibilidade do que o Controlador principal est
utilizando, dos hostse VTEPs.
D - Passe/mova o cursor do mouse sobre o texto [38 more] para
ver os hostsassociados a essa VXLAN. No clique no texto em
azul.
D - Passe/mova o cursor do mouse sobre o texto [82 more] para
ver os VTEPsassociados a essa VXLAN. No clique no texto em
azul.
1. Ao terminar a anlise, clique no X no canto superior direito
da caixa pop-up.
HOL-1829-01-NET
Page 78HOL-1829-01-NET
VRF: LDR
1. No mapa, clique no cone marcado com um quadrado vermelho
paraacessar os detalhes do VRF.
HOL-1829-01-NET
Page 79HOL-1829-01-NET
VRF: LDR-corporativo
Uma caixa pop-up que contm os detalhes do VRF ser exibida. Nela,
acessamos nossarede do kernel.
HOL-1829-01-NET
Page 80HOL-1829-01-NET
A - Dedique algum tempo para analisar as informaes disponveis.
No clique emnenhum dos links.
B - Observe o nome do roteador distribudo. Estamos usando esse
dispositivo paraacessar nossa rede corporativa.
C - Este dispositivo far o roteamento para uma interface
diferente. A interface rotearpara a interface na rede Prod-DB como
a prxima etapa no caminho (isso ser ilustradona prxima etapa).
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
Roteamento: firewall do NSX
O trfego roteado por meio do VRF para a rede Prod-DB at chegar
ao prximo hostfsico (conforme mostrado com as setas).
O primeiro dispositivo a que chegar na rede virtual no host
fsico o firewall. Observeque h dois firewalls ao lado da VM. Um
firewall da Palo Alto e um firewall do NSX.
1. No mapa, clique no cone marcado por um quadrado vermelho
paraacessar detalhes do Firewall do NSX (o de cima).
HOL-1829-01-NET
Page 81HOL-1829-01-NET
Firewall: NSX
Uma caixa pop-up que contm os detalhes do Firewall ser
exibida.
A - Dedique algum tempo para analisar quais informaes esto
disponveis. Noclique em nenhum dos links.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
HOL-1829-01-NET
Page 82HOL-1829-01-NET
Redirecionamento no mapa: firewall da PAN
Observe que h dois firewalls ao lado da VM. Um firewall da Palo
Alto e um firewall doNSX. Agora vamos olhar os detalhes do firewall
de baixo.
1. No mapa, clique no cone marcado por um quadrado vermelho
paraacessar detalhes do Firewall da Palo Alto (o desenho de
baixo).
Firewall: PAN
HOL-1829-01-NET
Page 83HOL-1829-01-NET
Neste cenrio, temos um firewall de transferncia baseado em uma
VM de Palo Alto. Orecurso de redirecionamento permite que as regras
de firewall sejam transferidas entreo firewall do NSX e o firewall
da PAN.
1. Ao terminar a anlise, clique no (X) no canto superior direito
da caixa pop-up.
Reverso da anlise
1. Na seo marcada por um quadrado vermelho na imagem , clique na
seta queaponta para a esquerda.
A rota no mapa ser alterada.
HOL-1829-01-NET
Page 84HOL-1829-01-NET
Continuao da reverso da anlise
A - A anlise ser feita agora na direo oposta. Observe que o
caminho agora alterado. Em vez de passar por Provider-Edge 3, o
trfego agora roteado por meiode Provider-Edge 2. exatamente assim
que o trfego funcionar na vida real.
Siga para a prxima etapa para concluir este mdulo.
HOL-1829-01-NET
Page 85HOL-1829-01-NET
VM Underlay
Agora vamos concentrar em VM Underlay.
1. A seo VM Underlay, que fica no lado direito da topologia de
caminho da VM,mostra as informaes de subposio das VMs envolvidas e
sua conectividadecom a parte superior dos switches de suporte e das
portas envolvidas.
2. A topologia do caminho de subposio da VM mostrada aqui.3. Os
componentes so rotulados em Path Details
HOL-1829-01-NET
Page 86HOL-1829-01-NET
HOL-1829-01-NET
Page 87HOL-1829-01-NET
1. Nesta seo, a lista suspensa na parte superior mostra as VMs
do endpoint e asVMs ativas nas bordas.
2. Para cada VM do Edge, a lista suspensa vizinha mostra os
endereos IP dainterface de entrada e de sada.
1. Na etapa anterior, selecionamos a Mquina virtual Prod-DB-22.
Ela altera o foco para o Endereo IP da interface (VNIC)
correspondente3. Mostra o mapa visual (Topologia de caminho) de
todos os objetos do caminho4. Os detalhes do caminho mostram os
rtulos e listam os componentes.
Com isso, conclumos este mdulo. Siga para o prximo mdulo.
HOL-1829-01-NET
Page 88HOL-1829-01-NET
ConclusoParabns por concluir o Mdulo 2.
Este mdulo nos mostrou que o vRealize Network Insight capaz de
rastrear o fluxo dedados entre dois objetos em toda a rede. O
vRealize Network Insight nos fornece umavisualizao total do
virtual, bem como os componentes virtuais no caminho. Com afuno do
mapa e os detalhes contidos nele, muito fcil obter uma viso geral
doscomponentes utilizados na comunicao de rede.
Todos os componentes do mapa se baseiam em um snapshot de dados
da vida real.Voc pode clicar em outros cones mostrados no mapa
deste mdulo antes de continuarpara o prximo mdulo e olhar os outros
componentes.
HOL-1829-01-NET
Page 89HOL-1829-01-NET
Para obter mais informaes
Para obter informaes adicionais sobre a funcionalidade
demonstrada neste mdulo,visite
http://www.vmware.com/vrealizenetwork insight.
Com isso, conclumos este mdulo. Siga para o prximo mdulo.
Se voc est procurando informaes adicionais, experimente uma
destas opes:
Clique neste link Se preferir, use seu dispositivo inteligente
para fazer a leitura do cdigo QRC.
Continue em qualquer mdulo abaixo que seja do seu interesse.
Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2:
Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo
3: Gerenciamento e operaes avanados do NSX (45 minutos) (30
minutos)
Como encerrar o laboratrio
Para encerrar o laboratrio, clique no boto END ou em um mdulo da
lista acima paracontinuar.
HOL-1829-01-NET
Page 90HOL-1829-01-NET
http://www.vmware.com/vrealizenetworkinsighthttps://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html
Mdulo 3: Gerenciamentoe operaes avanados
do NSX (45 minutos)
HOL-1829-01-NET
Page 91HOL-1829-01-NET
IntroduoIntroduo
O vRealize Network Insight garante que tenhamos visibilidade
completa de umaperspectiva de sobreposio e subposio. O foco deste
mdulos so as operaesavanadas do NSX com o vRealize Network Insight.
importante observar que ovRealize Network Insight oferece uma
visualizao em tempo real e umavisualizao histrica. A integrao no
apenas uma simples consulta SNMP, masinformaes avanadas de
interface de linha de comando e metadados coletadas emtempo real
para o NSX.
Este mdulo contm as seguintes lies:
Orientao operacional para o NSX Manager. Simulao interativa de
gerenciamento e operaes avanados do NSX.
HOL-1829-01-NET
Page 92HOL-1829-01-NET
Operaes de gerenciamento avanadodo NSXVerificao de status do
laboratrio
1. Antes de continuar, certifique-se de que o status do
laboratrio exibe Ready.
Feche as sesses de navegador de mdulos anteriores.
Abra o Google Chrome
1. Abra o Chrome na rea de trabalho do Centro de controle.
Observao: O Internet Explorer no funciona e no certificado para
uso com ovRealize Network Insight no momento deste lanamento.
HOL-1829-01-NET
Page 93HOL-1829-01-NET
Selecione o favorito vRealize Network Insight
1. Selecione o atalho vRNI na barra de favoritos (se o vRealize
Network Insightno carregar automaticamente)
vRealize Network Insight: tela de login
Faa login no portal
1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique
em Login para continuar
HOL-1829-01-NET
Page 94HOL-1829-01-NET
mailto:[email protected]
Barra de pesquisa: NSX Manager
Uso da barra de pesquisa na tela de entrada
1. Digite NSX Manager (isso listar trs NSX Managers)2. Clique em
Search.
Informaes do NSX Manager
O resultado agora mostra o NSX Manager (10.16.128.170) e podemos
verimediatamente que temos 50 problemas associados a esse
endpoint.
1. Clique no endereo do NSX Manager para exibir o layout e as
informaesdetalhadas.
HOL-1829-01-NET
Page 95HOL-1829-01-NET
Linha do tempo: construo visual
Somente explore as informaes - No clique
A - Comeando com Timeline podemos manipular os resultados
simplesmentearrastando o controle deslizante, mas por padro os
resultados atuais seroexibidos na entrada. O controle deslizante e
o menu suspenso (prximo a 1 day)facilitam a filtragem sob
demanda.
B - As Properties oferecem uma compreenso clara da configurao
atual dosNSX Managers (o vRealize Network Insight acomoda vrios NSX
Managers)
C - Analisando as NSX Checklist Rules - ALL, podemos rolar para
baixo e paracima para visualizar cada ponto da lista de verificao
que usado paramonitorar/validar o NSX Manager.
HOL-1829-01-NET
Page 96HOL-1829-01-NET
D - Como o vRealize Network Insight oferece suporte a vrios NSX
Managers evrios NSX Controllers, esse um entendimento visual
importante da Topologia.Cada objeto pode ser consultado
individualmente na mesma tela.
E - NSX Problems sero fundamentais para compreender os problemas
do NSX.
Topologia: foco no NSX Controller
A visualizao lgica da Topologia do NSX fornece links ao vivo
para que cadacomponente na estrutura seja consultado em tempo real.
O layout da topologia exibetodos os servios NSX relacionados
vinculados ao NSX Manager, incluindo clusters ehosts. O tringulo
vermelho em todos os trs controladores do NSX indica problemasque
podem afetar o ambiente do NSX como um ponto de partida ou um
resultado.Agora, podemos consultar cada objeto em busca de
informaes detalhadas
1. Clique no controlador do NSX (analise cada controlador at
descobrir ocontrolador que comea com
NSX_Controller_5b6c6c8d-4d71..... pois elesmudam de ordem).
HOL-1829-01-NET
Page 97HOL-1829-01-NET
NSX Controller: detalhe
A - A consulta do controlador exibe informaes detalhadas sobre o
controller-1 e aconfigurao relevante. Essa tela ajudar a
identificar o status, a verso, adisponibilidade de upgrade e muitos
outros identificadores essenciais do NSX Controllerem uma
visualizao imediata incluindo qualquer problema.
B - O problema imediato desse controlador do NSX tambm indicado
com umtringulo vermelho que sinaliza que temos um problema de
sinalizao de camada decontrole. O controle do problema pode ser
investigado mais a fundo expandindo(clicando no tringulo vermelho)
para visualizar informaes detalhadas. Noinvestigaremos esse
problema detalhadamente neste exerccio.
1. Clique no cone de fechamento (x) para continuar.
HOL-1829-01-NET
Page 98HOL-1829-01-NET
Topologia: explicao
Observao: A topologia do ambiente do NSX no exibir nenhuma
informao dedispositivo de balanceamento nesta verso.
1. Clique no cone Edge VMs para ver informaes detalhadas sobre
os serviosde borda.
HOL-1829-01-NET
Page 99HOL-1829-01-NET
Provedor Edge
Com a renderizao de uma visualizao completa dos servios de borda
do fornecedore das associaes podemos investigar todas as atividades
relacionadas borda.
1. Clique no link em azul Provider Edge 4. O cone do problema
pode ser usadopara obter informaes adicionais sobre o Provider-Edge
4. Isso destacar umacondio crtica devido a uma possvel interrupo de
rede desse dispositivo derede, pois ele no est mais em um estado
funcional.
HOL-1829-01-NET
Page 100HOL-1829-01-NET
Provedor de roteadores Edge 4
Esta seo descreve a anlise de causa raiz detalhada para o Edge
4
HOL-1829-01-NET
Page 101HOL-1829-01-NET
Retorno para a visualizao de pesquisa: NSX Manager
1. Agora, use o boto Voltar do Chrome, clique uma vez para
retornar para aetapa da tela de informaes do NSX Manager.
Problemas de infraestrutura - Warning/Moderate
Role para baixo at a seo "Infrastructure Problems".
1. Clique em Warning/Moderate para visualizar reas com
problemas.
HOL-1829-01-NET
Page 102HOL-1829-01-NET
Problemas do tipo Aviso/moderar
1. Use o cone azul + para expandir a visualizao detalhada da
"Logical networkingout of sync between host and NSX
Controller".
Problemas do tipo Aviso/moderar (continuao)
HOL-1829-01-NET
Page 103HOL-1829-01-NET
Ao expandir os detalhes, voc pode analisar os detalhes completos
do aviso.
Nesta visualizao, o vRealize Network Insight tambm est mostrando
recomendaessobre como voc resolveria esse problema, o que facilita
muito a soluo de problemase a anlise de causa raiz.
1. Clique em fechar (x) para continuar.
HOL-1829-01-NET
Page 104HOL-1829-01-NET
Simulao interativa dos laboratriosprticos: gerenciamento e
operaesavanados do NSXEsta parte do laboratrio apresentada como uma
Simulao interativa doslaboratrios prticos. Com isso, voc poder
praticar as etapas. Elas consistem emum processo longo ou que exige
muitos recursos para ser feito em tempo real noambiente do
laboratrio. Nesta simulao, voc poder usar a interface do
softwarecomo se estivesse interagindo em um ambiente real.
1. Clique aqui para abrir a simulao interativa.Ela ser aberta em
uma nova janelaou guia do navegador.
2. Ao concluir, clique no link "Return to the lab" para
continuar este laboratrio.
HOL-1829-01-NET
Page 105HOL-1829-01-NET
http://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni-pt.htmhttp://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni.htm
ConclusoParabns por concluir o Mdulo 3.
Este mdulo demonstrou o recurso de operaes de gerenciamento
avanadas dovRealize Network Insight. O vRealize Network Insight
fornece uma anlise detalhada doscomponentes virtuais e fsicos
associados ao NSX (subposio e sobreposio).
Para obter mais informaes
Se voc est procurando informaes adicionais, experimente uma
destas opes:
Clique neste link Se preferir, use seu dispositivo inteligente
para fazer a leitura do cdigo QRC.
Continue em qualquer mdulo abaixo que seja do seu interesse.
Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2:
Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo
3: Gerenciamento e operaes avanados do NSX (45 minutos) Mdulo 4:
Gerenciamento da segurana para as nuvens pblicas (AWS)
(30 minutos)
Como encerrar o laboratrio
Para encerrar o laboratrio, clique no boto END ou em um mdulo da
lista acima paracontinuar.
HOL-1829-01-NET
Page 106HOL-1829-01-NET
https://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html
Mdulo 4: Gerenciamentoda segurana para as
nuvens pblicas (AWS)(30 minutos)
HOL-1829-01-NET
Page 107HOL-1829-01-NET
IntroduoA TI corporativa precisa de visibilidade do status de
rede e segurana de suas cargas detrabalho, independentemente de se
esto hospedadas no local ou na AWS. Emboramuitas cargas de trabalho
de AWS sejam sandboxes para equipes de desenvolvimentode
aplicativos (DevOps), importante analis-las. Cada vez mais, as
cargas de trabalhoesto atendendo s necessidades essenciais de
produo para muitas organizaes. ATI corporativa deve estar pronta
para determinar o melhor local, postura de segurana ealocao de
largura de banda ao implantar cargas de trabalho. A disponibilidade
dedetalhes de padro de trfego, anlise de segurana e recomendaes
prontamentedisponveis ajuda as organizaes a tomar decises de
hospedagem ideais para atenders necessidades da empresa.
O vRealize Network Insight (vRNI) oferece suporte nuvem pblica
Amazon WebServices (AWS). Os recursos de monitoramento de trfego do
vRNI fornecemvisibilidade das estruturas da AWS nativas como
Virtual Private Clouds, VMs, grupos desegurana, regras de firewall
e tags. O vRNI tambm analisa os fluxos de trfego daAWS para
fornecer segurana e visualizaes de microssegmentao das cargas
detrabalho da nuvem. Isso significa que voc poder planejar a
microssegmentao ecompreender os padres de trfego usando os dados
coletados de suas instncias daAWS.
Este mdulo contm as seguintes lies:
Introduo ao Gerenciamento da segurana para as nuvens pblicas
(AWS)
HOL-1829-01-NET
Page 108HOL-1829-01-NET
public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/&lpos=apps_scodevmw
: 17
Introduo ao Gerenciamento dasegurana para as nuvens
pblicas(AWS)Verificao de status do laboratrio
1. Antes de continuar, certifique-se de que o status do
laboratrio exibe Ready.
Feche as sesses de navegador de mdulos anteriores.
Abra o Google Chrome
1. Abra o Chrome na rea de trabalho do Centro de controle.
Observao: O Internet Explorer no funciona e no certificado para
uso com ovRealize Network Insight no momento deste lanamento.
HOL-1829-01-NET
Page 109HOL-1829-01-NET
Selecione o favorito vRealize Network Insight
1. Selecione o atalho vRNI na barra de favoritos (se o vRealize
Network Insightno carregar automaticamente)
vRealize Network Insight: tela de login
Faa login no portal
1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique
em Login para continuar
HOL-1829-01-NET
Page 110HOL-1829-01-NET
mailto:[email protected]
Configurao de AWS
Vamos analisar a configurao de VPC do AWS para a finalidade
deste laboratrio.
1. Temos uma instncia no local do vRealize Network Insight
gerenciando o AWS.2. H dois VPCs: CRM e Common Services.3. O VPC
CRM consiste em um aplicativo de CRM composto de trs camadas:
Web,
APP e DB.4. Os usurios internos da empresa podem acessar a
camada da Web do CRM na
porta 80 internamente por meio de um host administrativo
seguro.5. A camada da Web se comunica com a camada do App na porta
8080.6. A camada do App se comunica com a camada de DB na porta
3306.7. A camada da Web est aberta para a VM de data centers
internos na porta 80.8. No host administrativo seguro do VPC: todas
as mquinas virtuais do CRM tm
acesso ssh na porta 22.9. Todas as camadas do VPC: o CRM se
comunica com o servidor DNS na porta 53 e
com o LogServer na porta 514 no VPC: Common Services.10. Isso
significa conexo com o DB para servidor de log (usado para servios
de
backup) deve existir conforme configurado pelo administrador;
mas, na realidade,esta a rea com problema que ser nosso foco.
HOL-1829-01-NET
Page 111HOL-1829-01-NET
Planejamento de segurana: nuvem AWS
O vRealize Network Insight estende o planejamento da
microssegmentao paraestruturas do AWS. O aplicativo "CRM" no VPC da
AWS j foi criado para voc.
As etapas de criao de aplicativo foram discutidas no Mdulo
3.
1. No vRealize Network Insight, clique em Plan Security
Na caixa de dilogo Plan Security , em Entity, selecione
1. Application
HOL-1829-01-NET
Page 112HOL-1829-01-NET
2. CRM3. Clique em Analyze
Podemos agora visualizar o aplicativo "CRM" de trs camadas na
AWS em um VPC.Vamos explorar a lgica do sistema de trs camadas nas
etapas a seguir.
1. Observe que Micro-Segments j est filtrado by Tier2. Web (a
camada da Web se comunica com a camada do App na porta 8080. Os
usurios internos da organizao podem acessar a camada da Web do
aplicativodo CRM na porta 80 internamente)
3. App (a camada do App se comunica com a camada do DB na porta
3306)4. DB (A camada do DB se comunica com servidores de log): esta
uma rea com
problema que vamos explorar.
Todas as camadas do primeiro VPC se comunicam com o servidor DNS
na porta 53 ecom o servidor de log na porta 514 do segundo VPC
HOL-1829-01-NET
Page 113HOL-1829-01-NET
Explorao do aplicativo de trs camadas: passo a passo
Agora, vamos explorar a configurao do aplicativo de trs camadas
para compreenderas configuraes de segurana e comunicao.
1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep
Focus.3. Clique na linha amarela para explorar os fluxos. Isso
revelar os fluxos da Web
at o App.
HOL-1829-01-NET
Page 114HOL-1829-01-NET
1. A camada Web se comunica com a camada App na porta 8080.2.
Clique em X para continuar.
HOL-1829-01-NET
Page 115HOL-1829-01-NET
1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep
Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelar
os fluxos do App at o
DB.
HOL-1829-01-NET
Page 116HOL-1829-01-NET
1. A camada do App se comunica com a camada de DB na porta
3306.2. Clique em X para continuar.
HOL-1829-01-NET
Page 117HOL-1829-01-NET
1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep
Focus.3. Clique na Linha amarela para explorar os fluxos. Isso
revelar os fluxos de DC
Virtual at App.
HOL-1829-01-NET
Page 118HOL-1829-01-NET
1. O DC Virtual (host administrativo seguro) se comunica com a
camada do App naporta 22.
2. Clique em X para continuar.
HOL-1829-01-NET
Page 119HOL-1829-01-NET
1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep
Focus.3. Clique na Linha azul para explorar os fluxos. Isso mostrar
os fluxos do App at
Shared Virtual.
HOL-1829-01-NET
Page 120HOL-1829-01-NET
1. A camada do App se comunica com Shared Virtual na porta 53 e
514respectivamente.
2. Clique em X para continuar.
HOL-1829-01-NET
Page 121HOL-1829-01-NET
1. Passe o mouse sobre Microssegmento de DB.2. Clique em Keep
Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelar
os fluxos do DB at
Shared Virtual.
HOL-1829-01-NET
Page 122HOL-1829-01-NET
1. O DB foi planejado para enviar logs para "aws-log-server", ou
seja, na porta 514(Syslog), mas o fluxo revela que h somente um
servio, aws-DNS-Server daporta 53. Em termos prticos, no h
comunicao com o servidor syslog (que o servio de backup).
2. Clique em X para continuar.
Consultas de firewall para o aplicativo de CRM
Para tratamento adicional do problema, o administrador pode
executar trs consultas defirewall para estabelecer por que o DB
para Shared Virtual no tem fluxos para a porta514 (syslog).
HOL-1829-01-NET
Page 123HOL-1829-01-NET
1. No navegador Chrome, clique com o boto direito do mouse2.
Selecione Duplicate no menu
1. Remova a string de pesquisa atual que foi copiada ao duplicar
a guia anterior edigite a nova consulta de pesquisa: firewall
action of flows where dst vm ='aws-log-server' Isso retornar 5
resultados: 4 Allow (para Web e midtier) e 1Deny (para DB)
2. Clique em Search3. Clique na caixa de seleo DENYpara
direcionar o foco para a regra de negao
Podemos ver uma regra DENY que est impedindo o crm-databse de se
comunicarcom aws-log-server na porta 514. Isso indica que o Admin
da AWS se esqueceu de
HOL-1829-01-NET
Page 124HOL-1829-01-NET
adicionar a regra para permitir o trfego do (Banco de dados)
crm-database para (oservidor syslog) aws-log-Server.
1. No navegador Chrome, clique com o boto direito do mouse.2.
Selecione Duplicate no menu.
1. Remova a string de pesquisa atual que foi copiada ao duplicar
a guia anterior e asubstitua digitando a nova string de pesquisa:
aws firewall rule where src vm= 'crm-web1' e dst vm =
'aws-log-server'.
HOL-1829-01-NET
Page 125HOL-1829-01-NET
2. Clique em Search3. Isso retornar 3 resultados: 1 regra de
entrada e 2 regras de sada. O resultado
desta consulta valida a comunicao de "crm-web1" com
"aws-log-server"
1. No navegador Chrome, clique com o boto direito do mouse.2.
Selecione Duplicate no menu.
1. Remova a string de pesquisa atual que foi copiada ao duplicar
a guia anterior e asubstitua digitando a nova string de pesquisa:
aws firewall rule where src vm= 'crm-database' e dst vm =
'aws-log-server'.
HOL-1829-01-NET
Page 126HOL-1829-01-NET
2. Clique em Search.3. Isso retornar 2 resultados para Regras de
sada, explicando mais
detalhadamente o comportamento da regra de firewall do
crm-database paraaws-log-server.
HOL-1829-01-NET
Page 127HOL-1829-01-NET
ConclusoParabns por concluir o Mdulo 4.
Este mdulo demostrou o recurso do vRealize Network Insight de
compreender ospadres de trfego e planejar a microssegmentao em seus
ambientes de nuvemprivada e pblica. Essa capacidade oferece
visibilidade inigualvel das nuvens pblicase privadas para
planejamento de microssegmentao, visibilidade de rede
egerenciamento.
Para obter mais informaes
Como encerrar o laboratrio
Para encerrar o laboratrio, clique no boto END ou em um mdulo da
lista acima paracontinuar.
HOL-1829-01-NET
Page 128HOL-1829-01-NET
ConclusionThank you for participating in the VMware Hands-on
Labs. Be sure to visithttp://hol.vmware.com/ to continue your lab
experience online.
Lab SKU: ManualExport-HOL-1829-01-NET.zip
Version: 20171201-202848
HOL-1829-01-NET
Page 129HOL-1829-01-NET
http://hol.vmware.com/
Table of ContentsViso geral do laboratrio - HOL-1829-01-NET -
Como comear com o vRealize Network InsightOrientao de
laboratrioLocalizao do Console principalMtodos alternativos de
entrada de dados por tecladoClique e arraste o contedo do manual do
laboratrio para a janela ativa do consoleAcesso ao teclado
internacional on-lineClique uma vez na janela ativa do
consoleClique na tecla @vRealize Network Insight: navegaoSolicitao
ou marca d'gua de ativaoObserve a parte inferior direita da
tela
Mdulo 1: Microssegmentao e segurana (30 minutos)IntroduoIntroduo
microssegmentaoVerificao de status do laboratrioAbra o Google
ChromeSelecione vRealize Network Insight FavoritevRealize Network
Insight: tela de loginPlanejamento da seguranaPlanejamento da
segurana: especifique uma predefinioViso geral: distribuio de
trfego (painel esquerdo)Distribuio de trfego: viso geral (painel
direito)Leste-oeste (EW)- TrfegoLeste-oeste (EW) - Visualizao
detalhadaServios/portasServios/portas - Visualizao de linha do
tempoServios/portas - Servio num dado perodo de tempoFluxos para a
porta 5443Flow Key Properties: visualizao da linha do tempoFlow Key
Properties: visualizao da linha do tempoMicrossegmentosFoco na rede
10.17.8.0Foco: VLAN/VXLANFoco: Prod-Web (25)Fluxos: Prod-Web a
Prod-MidtierFluxos: regras de firewall recomendadasVrias portas e
regras de firewall para Prod-webServios e fluxos para
Prod-WebMicrossegmentao centrada no aplicativoDefinir um
aplicativoGrupo de segurana "Prod_MidTier"Resultados:
PROD_MIDTIERGrupo de segurana Prod_MidTier: linha do tempoTopologia
de firewall do grupo de seguranaRastreamento de
Prod_MidTierLab-MidtierRegra de firewall: rastreamentoPesquisa de
portaExportao de regras de firewallAlterao de associao da regra de
firewallRegra de auditoria: alteraes de associao de regra de
firewallEvento definido pelo usurioConfiguraesNotificaes do
sistema
ConclusoPara obter mais informaesComo encerrar o laboratrio
Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45
minutos)IntroduoTotal visibilidade e soluo de problemas de redeAbra
o Google ChromeSelecione o favorito vRealize Network
InsightvRealize Network Insight: tela de loginCaminho e
topologiaPath: selecione origem e destinoPath: continuao de origem
e destinoPath: continuao de origem e destinoProcura do caminhoVM
Path Topology e VM UnderlayTopologia de caminho da VM: Path
DetailsViso geral dos componentesMquina virtual: detalhesHosts ESXi
fsicosHost: detalhesDVPG no mapaDVPGVLAN-629 no mapaRede VLANPortas
de switch no mapaPorta de switchVRF fsico no mapaVRF: switch
fsicoVRF: continuaoVRF: roteador fsicoVRF: continuaoVRF: switch
fsicoAcesso infraestrutura virtualVRF - Provider Edge 1 do NSXVXLAN
no mapaRede VXLANVRF: LDRVRF: LDR-corporativoRoteamento: firewall
do NSXFirewall: NSXRedirecionamento no mapa: firewall da
PANFirewall: PANReverso da anliseContinuao da reverso da anliseVM
Underlay
ConclusoPara obter mais informaesComo encerrar o laboratrio
Mdulo 3: Gerenciamento e operaes avanados do NSX (45
minutos)IntroduoOperaes de gerenciamento avanado do NSXVerificao de
status do laboratrioAbra o Google ChromeSelecione o favorito
vRealize Network InsightvRealize Network Insight: tela de
loginBarra de pesquisa: NSX ManagerInformaes do NSX ManagerLinha do
tempo: construo visualTopologia: foco no NSX ControllerNSX
Controller: detalheTopologia: explicaoProvedor EdgeProvedor de
roteadores Edge 4Retorno para a visualizao de pesquisa: NSX
ManagerProblemas de infraestrutura - Warning/ModerateProblemas do
tipo Aviso/moderarProblemas do tipo Aviso/moderar (continuao)
Simulao interativa dos laboratrios prticos: gerenciamento e
operaes avanados do NSXConclusoPara obter mais informaesComo
encerrar o laboratrio
Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS)
(30 minutos)IntroduoIntroduo ao Gerenciamento da segurana para as
nuvens pblicas (AWS)Verificao de status do laboratrioAbra o Google
ChromeSelecione o favorito vRealize Network InsightvRealize Network
Insight: tela de loginConfigurao de AWSPlanejamento de segurana:
nuvem AWSExplorao do aplicativo de trs camadas: passo a
passoConsultas de firewall para o aplicativo de CRM
ConclusoPara obter mais informaesComo encerrar o laboratrio
Conclusion