Table of Contents - docs.hol.vmware.comdocs.hol.vmware.com/HOL-2018/Localization/manuals/pt/manualexport... · de como usar o vRealize Network Insight. ... ... Abra o Google Chrome

Table of ContentsViso geral do laboratrio - HOL-1829-01-NET - Como comear com o vRealize NetworkInsight............................................................................................................................... 2

Orientao de laboratrio ....................................................................................... 3Mdulo 1: Microssegmentao e segurana (30 minutos) ................................................ 8

Introduo............................................................................................................... 9Introduo microssegmentao ......................................................................... 11Concluso ............................................................................................................. 50

Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45 minutos) .......................51Introduo............................................................................................................. 52Total visibilidade e soluo de problemas de rede ................................................ 53Concluso ............................................................................................................. 89

Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos) .......................91Introduo............................................................................................................. 92Operaes de gerenciamento avanado do NSX .................................................. 93Simulao interativa dos laboratrios prticos: gerenciamento e operaesavanados do NSX .............................................................................................. 105Concluso ........................................................................................................... 106

Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS) (30 minutos)107Introduo........................................................................................................... 108Introduo ao Gerenciamento da segurana para as nuvens pblicas (AWS).....109Concluso ........................................................................................................... 128

HOL-1829-01-NET

Page 1HOL-1829-01-NET

Viso geral do laboratrio- HOL-1829-01-NET -Como comear com o

vRealize Network Insight

HOL-1829-01-NET


Orientao de laboratrioObservao: A concluso deste laboratrio levar aproximadamente 90minutos. Espera-se que voc termine apenas dois dos mdulos durante essetempo se voc no tiver experincia com o vRealize Network Insight. Osmdulos so independentes uns dos outros para que voc possa comeardesde o incio de cada um e prosseguir de onde parou. Use o ndice paraacessar qualquer mdulo sua escolha.

Ele pode ser acessado no canto superior direito do Manual do laboratrio.

Neste laboratrio, sero apresentadas aos alunos uma viso geral e uma demonstraode como usar o vRealize Network Insight. Este laboratrio se concentra em quatrocapacidades especficas e em dois cenrios de caso de uso. O primeiro mdulo introduza microssegmentao e a segurana em redes, seguido pelo mdulo dois, que fornecerum passo a passo do mapa detalhado de um fluxo em tempo real proporcionando umaviso completa para sobreposies e subposies entre plataformas. O Mdulo 3 seconcentra no NSX Manager e fornece uma anlise aprofundada de como gerenciamosoperaes NSX avanadas no vRealize Network Insight. O Mdulo 4 se concentra nogerenciamento da segurana para as nuvens pblicas (AWS).

Lista de mdulos de laboratrio:

Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos) Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS)

(30 minutos)

Responsvel pelo laboratrio:

Mdulo 1-4: Atif Qadeer, engenheiro de sistemas snior do NSX, ReinoUnido

Este manual do laboratrio pode ser obtido por download no site de Documentos delaboratrio prtico em:

[http://docs.hol.pub/HOL-2017]

Este laboratrio pode estar disponvel em outros idiomas. Este documento podeorient-lo pelo processo de definir sua preferncia de idioma e ter um manual localizadoimplantado com seu laboratrio:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf

HOL-1829-01-NET


public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/[http:/docs.hol.pub/HOL-2017]http://docs.hol.vmware.com/announcements/nee-default-language.pdf

Localizao do Console principal

1. A rea na caixa VERMELHA contm o Console principal. O Manual do laboratrioest na guia direita do Console principal.

2. Um laboratrio especfico pode ter outros consoles em guias separadas na partesuperior esquerda. Se necessrio, voc ser direcionado para abrir outro consoleespecfico.

3. Seu laboratrio comea com 90 minutos no cronmetro. No possvel salvar olaboratrio. Voc deve fazer todo o seu trabalho durante a sesso do laboratrio.No entanto, possvel clicar em EXTEND para estender o tempo. Se voc

estiver em um evento da VMware, poder estender o tempo do laboratrio duasvezes, por no mximo 30 minutos. Cada clique acrescenta 15 minutos. Excetopelos eventos da VMware, voc pode estender o tempo do seu laboratrio por nomximo nove horas e 30 minutos. Cada clique acrescenta uma hora.

Mtodos alternativos de entrada de dados por teclado

Durante este mdulo, digite o texto no Console principal. Alm da digitao direta, hdois mtodos muito prticos que facilitam a entrada de dados complexos.

Clique e arraste o contedo do manual do laboratrio paraa janela ativa do console

Voc tambm pode clicar e arrastar textos e comandos da interface de linha decomando diretamente do Manual do laboratrio para a janela ativa no Console principal.

Acesso ao teclado internacional on-line

HOL-1829-01-NET


Voc pode tambm usar o teclado internacional on-line do Console principal.

1. Clique no cone de teclado que fica na barra de tarefas de Incio Rpido doWindows.

Clique uma vez na janela ativa do console

Neste exemplo, voc utilizar o teclado on-line para inserir o sinal "@" usado emendereos de e-mail. Nos layouts de teclado dos Estados Unidos, pressione Shift+2 parainserir o sinal "@".

1. Clique uma vez na janela ativa do console.2. Clique na tecla Shift.

Clique na tecla @

1. Clique na "tecla @".

Observe o sinal @ inserido na janela ativa do console.

HOL-1829-01-NET


vRealize Network Insight: navegao

1 - "HOME": use esta opo se precisar retornar tela de navegao e pesquisaoriginal

2 - Painel de navegao 3 - Barra de pesquisa incluindo linha do tempo 4 - Painel de detalhes e informaes 5 - Alertas/pinboards/configuraes

Solicitao ou marca d'gua de ativao

Quando voc iniciar o laboratrio pela primeira vez, talvez observe uma marca d'guana rea de trabalho, que indica que o Windows no est ativado.

Um dos principais benefcios da virtualizao que as mquinas virtuais podem sermovidas e executadas em qualquer plataforma. O Hands-on Labs utiliza esse benefcio,e possvel execut-lo em vrios data centers. No entanto, esses data centers podem

HOL-1829-01-NET


no ter processadores idnticos, o que aciona uma verificao de ativao da Microsoftpela Internet.

A VMware e os Hands-on Labs esto em total conformidade com os requisitos delicenciamento da Microsoft. O laboratrio que voc est usando um pod autocontido eno tem o acesso completo Internet necessrio para que o Windows verifique aativao. Sem o acesso completo Internet, esse processo automatizado falha, e amarca d'gua exibida.

Esse problema superficial no afeta seu laboratrio.

Observe a parte inferior direita da tela

Verifique se foram concludas todas as rotinas de inicializao do seu laboratrio e seele est pronto para voc comear. Se aparecer algo diferente de "Ready", aguardealguns minutos. Aps cinco minutos, se o laboratrio ainda no aparecer como"Ready", pea ajuda.

HOL-1829-01-NET


Mdulo 1:Microssegmentao e

segurana (30 minutos)

HOL-1829-01-NET


IntroduoQuando empresas de mdio a grande porte implantam o NSX, muitas vezes elas tmdificuldade para definir o nvel de microssegmentao necessrio entre aplicativos nasredes. A parte mais desafiadora saber quais informaes so necessrias paracomear, como localizar as informaes, medir trfego e como capturar os resultados.

O vRealize Network Insight ajuda a resolver esse problema ao analisar e categorizar asVMs em grupos lgicos com base em caractersticas especficas de processamento erede. Esse processo gera automaticamente um modelo recomendado de grupos desegurana e regras de firewall especficas para cada grupo. Isso facilita muito a vida dosarquitetos e engenheiros de segurana.

O vRealize Network Insight (vRNI) utiliza o coletor IPFIX na camada do Switch virtualdistribudo para capturar os fluxos de dados. Ativamos o IPFIX na camada do Switchvirtual distribudo para os Hosts ESXi e encaminhamos os pacotes UDP do IPFIX para oappliance do vRealize Network Insight. A captura de dados possibilitar fluxo de dadosem tempo real para todo o trfego de porta e fornecer recursos de filtragemadicionais para explorar o trfego leste-oeste.

Temos dois cenrios para ajudar a explicar como o vRealize Network Insight pode serutilizado para garantir que tenhamos visibilidade total e detalhada para implantarregras de firewall a fim de realizar a microssegmentao sem precisar fazeradivinhaes.

Cenrio 1: (implantao em data centers existentes) o cliente ABC adquiriu o ESXi e oNSX e no tem uma compreenso clara de como implantar de forma operacional ascargas de trabalho existentes com proteo de firewall leste-oeste ou como segmentara carga de trabalho. O cliente no usar o vRealize Network Insight para observar ofluxo de dados em tempo real entre portas para criar as regras de firewall leste-oeste. Oprocesso do vRealize Network Insight observar os padres de trfego com base nofluxo de dados capturado; em seguida, sero feitas recomendaes para proteger ascargas de trabalho para a comunicao leste-oeste. O firewall e a microssegmentaoatuais podem tambm ser verificados.

Cenrio 2: (redes novas) o cliente ABC tem um novo projeto de desenvolvimento paraDevOps e no saberia quais seriam as recomendaes ou regras de firewall imediatas.Com o uso do vRealize Network Insight, poderamos comear imediatamente amonitorar o fluxo de dados em tempo real medida que cada implantao edesenvolvimento ocorre. Com base nas informaes de DevOps, podemos agora aplicaras regras de firewall no estgio de QA e nos preparar para testes a fim de garantir que,quando movermos as cargas de trabalho para Produo, tenhamos seguranaoperacional de dia zero para trfego leste-oeste no data center.

OBSERVAO: O NSX no necessrio em nenhum estgio para capturar, observar oudefinir com xito as regras de firewall leste-oeste. O processo de planejar a segurana

HOL-1829-01-NET


somente utiliza o IPFIX e a camada vDS para capturar e observar o fluxo de dados entreportas.

Este mdulo contm as seguintes lies:

Identificar as regras de firewall para microssegmentao Topologia de grupo de segurana Rastreamento de uma regra de firewall Exportao de regras de firewall para o NSX Manager (Simulao interativa) Concluso

HOL-1829-01-NET


Introduo microssegmentaoEsta seo contm as seguintes lies:

Identificao das regras de firewall para microssegmentao Topologia de grupo de segurana Rastreamento de uma regra de firewall

Verificao de status do laboratrio

1. Antes de continuar, certifique-se de que o status do laboratrio exibe Ready.

Feche as sesses do navegador dos mdulos anteriores

Abra o Google Chrome

1. Abra o Chrome na rea de trabalho do Centro de controle.

Observao: O Internet Explorer no funciona e no certificado para uso com ovRealize Network Insight no momento deste lanamento.

HOL-1829-01-NET


Selecione vRealize Network Insight Favorite

1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insight nocarregar automaticamente)

HOL-1829-01-NET


vRealize Network Insight: tela de login

Faa login no portal

1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique em Login para continuar

HOL-1829-01-NET


mailto:[email protected]

Planejamento da segurana

Quando o login no portal do vRealize Network Insight for concludo, a primeira telaexibir uma barra de pesquisa na parte superior

1. Digite plan security (a barra de pesquisa usa preenchimento automtico, e umtexto previsto exibido enquanto voc digita).

2. Selecione o cone de tempo.

HOL-1829-01-NET


Planejamento da segurana: especifique uma predefinio

1. Selecione Presets.2. Selecione Last Week.3. Clique no cone de pesquisa para continuar.

HOL-1829-01-NET


Viso geral: distribuio de trfego (painel esquerdo)

A representao visual do trfego mostrada para compreender o relacionamentolgico entre cada componente, fsico ou virtual, a fim de rastrear fluxos e sesses emuma rede:

Fluxos internos/fluxos externos Fluxos protegidos/fluxos desprotegidos por VLAN ou VXLAN

O padro para essa visualizao "Last 1 day" No altere essa opo, pois jespecificamos o filtro de tempo.

HOL-1829-01-NET


Distribuio de trfego: viso geral (painel direito)

A seo Distribuio de trfego explicada em um formato de nmero abaixo. Useestas informaes como referncia e no clique nos links neste estgio.

A - Esta a soma de todos os fluxos de trfego, com a porcentagem exibidacomo trfego somente leste-oeste.

B - Isso indica a porcentagem de trfego que foi alternada. C - A porcentagem de trfego que roteada entre as portas leste-oeste. D - Isso indica que o trfego de mquina virtual para mquina virtual como uma

porcentagem da soma no ponto nmero 1. E - O trfego observado entre mquinas virtuais no mesmo host. F - O Trfego que exige acesso Internet.

Leste-oeste (EW) - Trfego

Para visualizar detalhes especficos sobre fluxos de dados, clique em qualquer um dosseis blocos para obter informaes detalhadas sobre fluxos e sesses (use o [x] nocanto direito para fechar a observao ao concluir para continuar com a prxima etapa

HOL-1829-01-NET


deste laboratrio). importante compreender a distribuio de fluxos e sesses paracriar uma estratgia baseada no ambiente real a fim de atingir a microssegmentao.

Uma Sesso tem cinco listas ordenadas de objetos, tambm chamadas de tuplas, (aporta de origem uma das cinco listas, o que significa que toda vez que uma novaconexo TCP estabelecida e encerrada, uma nova sesso gravada).

Um Fluxo uma agregao de sesses compostas de quatro ao invs de cinco tuplas -como a porta de origem muito dinmica (amplo alcance e mudanas contnuas) ela ignorada e o fluxo combinar as tuplas restantes em uma nica lista ordenada deobjetos. Assim, contanto que vrias sesses tenham o mesmo IP de origem, o mesmo IPde destino, a mesma porta de destino e o mesmo protocolo, elas sero combinadas emum registro chamado fluxo.

Portanto, milhares de sesses em um dia entre duas mquinas em uma porta de destinoespecfica (ssh, dns etc.) seriam combinadas em um fluxo com um nmero agregado depacotes, bytes e sesses entre elas, registrados como informaes adicionais de fluxo.

Em qualquer empresa, o nmero de sesses que ocorrem em um dia varia muito. Osfluxos so unidades mais gerenciveis e so importantes principalmente para definiesde polticas de microssegmentao.

Se algum desejar ver estatsticas desses fluxos, como bytes transferidos, nmero desesses, ou at mesmo usar esses contadores junto com outras operaes de consultapara outra anlise de nvel mais alto (como a determinao da distribuio de um fluxode sada de mquinas virtuais por IP de destino), os contadores de mtrica a seguirpodero ser usados:

Nomes de contador

allowed sessions: nmero de sesses (ou cinco tuplas) que correspondem a um fluxo(quatro tuplas)bytes: volume de trfego total trocado no fluxo (essa soma de dois contadores descritaabaixo)src bytes: nmero total de bytes enviado por src_ip do fluxo para dst_ip:port:protocoldst bytes: nmero total de bytes recebidos por src_ip do fluxo de dst_ip:port:protocol

1. Clique no bloco de trfego leste-oeste

Isso exibir uma nova janela com anlise detalhada do trfego.

HOL-1829-01-NET


Leste-oeste (EW) - Visualizao detalhada

Esses so apenas alguns dos 1.653 fluxos, mas os filtros e vistas detalhadas podem serusados para restringir informaes mais especficas.

A - Sem clicar (apenas passe o mouse) na linha de tempo para ver a taxa de fluxoindicada pela linha verde para o perodo

1. Clique no cone de fechar (x) para continuar.

HOL-1829-01-NET


Servios/portas

Localizao da tela Services/Ports para a prxima etapa

HOL-1829-01-NET


Servios/portas - Visualizao de linha do tempo

O planejamento da segurana faz uso da viso geral Service/Ports no lado direito datela. A tela da visualizao de servio usada para observar o fluxo de cada servio,analisando uma taxa de fluxo especfica em dado perodo de tempo. As linhas de tempopodem ser ajustadas para obter uma melhor compreenso do que a consulta "plansecurity" fornece. Este mdulo seguir as etapas necessrias para observar e rastrearfluxos, utilizando como exemplo o fluxo para a porta 5443.

1. Clique em Show Data.

HOL-1829-01-NET


Servios/portas - Servio num dado perodo de tempo

A seo Services oferece uma viso geral dos fluxos por uma porta especfica em umperodo de tempo, por bytes ou por sesses permitidas. Observe a rea destacadaem vermelho para compreender como o fluxo visualizado em um formato dinmico,assim garantindo que uma taxa de fluxo possa ser fornecido ao passar o mouse sobreuma determinada seo.

1. Passe o mouse para ressaltar o bloco azul sobre a porta 5443 e observeque ele apresenta, sob demanda, a soma total para as ltimas 24 horasdos fluxos em gigabytes (GB) que se comunicam pela porta 5443

2. Clique no bloco na interseo de "Last 24 hours" e "PORTS 5443" paraobter uma visualizao detalhada das informaes

HOL-1829-01-NET


Fluxos para a porta 5443

Com a visualizao "Fluxo pela porta 5443 nas ltimas 24 horas", vemosdetalhadamente a distribuio de 20 fluxos listados por entidade. Voc pode rolar parabaixo e examinar o trfego detalhado. Mais filtros podem ser usados no lado esquerdoda tela para visualizar um tipo de resultado mais especfico.

1. Clique na entrada para examinar o fluxo detalhado entre Prod-DB-3 e Prod-DB-2 pela porta 5443 (a ordem dos fluxos pode ser diferente da exibida na telaacima. Prod-DB-3 e Prod-DB-2 pode ser a stima entrada)

HOL-1829-01-NET


Flow Key Properties: visualizao da linha do tempo

"Flow Key Properties" e "Flow Key Metrics", com a ajuda da linha do tempo, oferecemuma maior compreenso do trfego entre essas duas VMs especficas pela porta 5443.(A) - Passe o mouse sobre qualquer parte do grfico Flow Key Metrics para ver asestatsticas do fluxo em um ponto especfico do tempo.

1. Clique em 1M (ltimo 1 ms). Agora passe o mouse sobre as linhas verdes/azuispara ver um fluxo especfico em dado perodo de tempo.

HOL-1829-01-NET


Flow Key Properties: visualizao da linha do tempo

1. Clique uma vez no boto voltar do navegador para retornar tela plansecurity layout (depois de concluir a visualizao das linhas do tempo parafluxos especficos).

HOL-1829-01-NET


Microssegmentos

A tela deve estar de volta e com foco na visualizao Plan Security. Vamos nosconcentrar no lado esquerdo da tela plan security marcada como Micro-Segments.Esta seo se concentra na visualizao de subnets e em como elas podem ser usadaspara rastrear fluxos entre dois ou vrios pontos.

Observao: Os fluxos de segmentao podem ser acessados usando visualizaesque se concentraro em VLAN/VXLAN, subnet, pasta, clusters, VMs, portas, tagde segurana ou grupos de segurana.

1. Selecione Last 1 Day (para limpar o intervalo de dados anterior)2. Selecione o menu e, em seguida, selecione by Subnet.3. Podemos analisar mais detalhadamente os microssegmentos por grupos

secundrios (essa etapa apenas para informao)4. Clique em Analyze para que os dados sejam preenchidos

HOL-1829-01-NET


Foco na rede 10.17.8.0

A - Passe o mouse (no clique) sobre a rede 10.17.8.0 e observe que eladestacar imediatamente todos os fluxos e sesses com origem ou destino nessesegmento de rede. Outros tipos de trfego perdero o foco neste ponto assumindo a corazul-clara.

A visualizao "Keep Focus" cria um diagrama mostrando a comunicao com recursosfsicos compartilhados, a Internet e outras sub-redes. Os parnteses aps a redeindicaro o nmero de mquinas virtuais. As linhas coloridas indicaro um fluxoconectado como OUTGOING/INCOMING/BIDIRECTIONAL

HOL-1829-01-NET


Foco: VLAN/VXLAN

Para rastrear fluxos entre Prod-Web e Prod-Midtier, vamos trocar a visualizao porSubnet para a por VLAN/VXLAN. Isso exibir o fluxo do trfego e nos mostrar as regrasde firewall recomendadas.

1. No filtro, selecione a opo VLAN/VXLAN (a visualizao ser atualizadaautomaticamente).

HOL-1829-01-NET


Foco: Prod-Web (25)

1. Passe o mouse sobre Prod-Web2. Clique em Keep Focus, pois seguiremos o trfego desse grupo para ver quais

portas esto em uso e por qu.3. Clique na linha que une o Prod-Web e o Prod-Midtier.

HOL-1829-01-NET


Fluxos: Prod-Web a Prod-Midtier

(A) - Neste ponto j identificamos 14 endpoints ou fluxos exclusivos que estotrafegando por ou para grupos de segurana potenciais. Esses grupos de segurana sobaseados em VLANs, pastas, sub-redes ou uma estrutura que pode ser definida ecustomizada.

1. Clique nas regras de firewall recomendadas.

Fluxos: regras de firewall recomendadas

Com base na anlise observada do fluxo do trfego entre Prod-Web e Prod-Midtier, umaregra de firewall recomendada foi gerada para proteger e segmentar o trfego dorestante da VLAN/VXLAN.

HOL-1829-01-NET


Devido s mtricas de observao de fluxo, a recomendao (ALLOWED) na porta8080 entre SG Prod-Web e SG-Prod-Midtier.

1. Clique em fechar (x) para continuar.

Vrias portas e regras de firewall para Prod-web

1. Clique no grupo Prod-Web.

Servios e fluxos para Prod-Web

No foco, so apresentados aos usurios todos os servios, fluxos e regras de firewallpara Prod-Web em um nico painel.

1. Clique em Services In this group: 50 endpoints ou fluxos de servio exclusivosque esto sendo trafegados por ou para grupos de segurana potenciais somapeados com taxas de trfego includas.

HOL-1829-01-NET


2. Clique em External Services Accessed: essa uma diviso dos 16 endpoints deservio externos que se comunicam com o Prod-Web e incluem as informaes deporta (DNS, HTTPS etc.).

3. Clique em Recommended Firewall Rules: com base nos 50 endpoints deservio exclusivos, que tm 17 servios externos com 425 fluxos, podemos usarmtricas para determinar quais regras de firewall so necessrias. Neste caso,temos a definio de 6 regras de firewall como a abordagem de segmentaomnima recomendada para o grupo Prod-Web.


Microssegmentao centrada no aplicativo

Um aplicativo uma coleo de camadas. Cada uma uma coleo de VMs baseadasno critrio de filtro definido pelo usurio. Os aplicativos permitem que voc crie um

HOL-1829-01-NET


grupo hierrquico de VMs e visualize trfego/fluxos entre as camadas do mesmoaplicativo. O trfego ou fluxos podem ser visualizados tambm entre aplicativos.

1. Em Micro-segments, clique no menu com o nome by VLAN/VXLAN2. Clique em "by Application"

1. Passe o mouse sobre Prod-App (47) (no clique neste estgio)2. Clique em Keep Focus

Voc pode ver, de acordo com o mostrado no exerccio anterior, os fluxos Outgoing,Incoming e Bidirectional personalizados para Prod-App. Quando voc clica nomicrossegmento Prod-App, os servios so revelados.

Exploraremos agora como podemos definir um aplicativo.

HOL-1829-01-NET


Definir um aplicativo

1. Na barra de pesquisa, digite Application2. Clique no boto Search

1. A pesquisa de aplicativos retornar quatro entidades, ou seja, aplicativos jcriados no sistema para voc.

2. Essa pgina tambm permite que voc crie um novo aplicativo. Clique em AddApplication

1. Em Application Name , digite HOL-Pre-Prod

HOL-1829-01-NET


2. Em Tier , digite o Nome como HOL-Pre-Prod3. Nosso critrio de pesquisa ser baseado em VM Names em Virtual Machines/

IP Addresses. Digite "Admin-VM1", "Admin-VM2" (a pesquisa preencherautomaticamente os nomes para voc)

4. No salve, clique em Cancel, que levar voc para a tela anterior

1. Nela, voc poder ver que o nmero de entidades aumentou em um; ou seja,cinco entidades.

2. Voc poder ver tambm Hol-Pre-Prod na lista.

HOL-Pre-Prod ser exibido agora na seo Application em Plan Security (no abordadaneste laboratrio)

Grupo de segurana "Prod_MidTier"

Os administradores e arquitetos de rede enfrentam desafios dirios na identificao deparmetros/grupos de segurana que esto em vigor, exigindo muito mais detalhessobre a topologia do continer antes de continuar a executar ou planejar amicrossegmentao. Vamos analisar como isso seria possvel em uma visualizaonica que tem integrao detalhada com redes de sobreposio e subposio.

1. Usando a barra de pesquisa, digite Nsx Security Group 'Prod_MidTier' (abarra de pesquisa usa preenchimento automtico, e um texto previsto exibidoenquanto voc digita).

2. Clique em Search para continuar.

HOL-1829-01-NET


A tela Help pode aparecer (nesta configurao de laboratrio) para garantir que ousurio tenha uma orientao instantnea, chamada Security Group Pinboard. O motivopara este guia identificar a visualizao de detalhes e o layout da topologia. Leia oguia de ajuda e, quando concluir:


Resultados: PROD_MIDTIER

Os resultados da consulta exibiro Prod_Web na parte superior da tela. O resultadoexibido tambm incluir Translated VM Count e todas as regras associadas

1. Clique em Prod_MidTier para continuar.

HOL-1829-01-NET


Grupo de segurana Prod_MidTier: linha do tempo

Explicao da visualizao do grupo de segurana

O Grupo de segurana oferece uma visualizao detalhada do mesmo e uma listagemabrangente de propriedades e eventos importantes. A Topologia oferece uma visogeral visual de como o grupo de segurana est associado aos outros contineres. Ocontrole deslizante Timeline na parte superior da vista atual permitir que o estadonum determinado perodo do tempo do grupo de segurana e dos filtros possa serusado para um foco maior em um aspecto determinado do objeto.

HOL-1829-01-NET


Topologia de firewall do grupo de segurana

(A) A Topologia de firewall do grupo de segurana esquerda exibe a topologia dogrupo "Prod_MidTier"

(B) A Topologia de continer do grupo de segurana direita mostra todo equalquer grupo filho e pai em relao a Prod_Web. Isso identificar o aninhamento e ahierarquia dos grupos de segurana.

HOL-1829-01-NET


1. Clique e selecione Prod_Web to Prod_Midtier Rule (ser aberta uma tela pop-up, abordada na prxima etapa)

HOL-1829-01-NET


1. Na tela pop-up, podemos ver imediatamente a aparncia do fluxo de servio deorigem e de destino nesse exemplo. Isso pode ser feito para todo e qualquersegmento anexado a Prod_Web e fornecer todas as informaes de Topologia defirewall do grupo de segurana atual. Voc pode clicar em todos os segmentospara compreender completamente cada grupo de segurana relacionado.

2. Clique em fechar (x) em qualquer menu pop-up que voc tenha aberto durantea anlise para seguir para o prximo exerccio.

HOL-1829-01-NET


Rastreamento de Prod_MidTier

1. Na mesma visualizao, quando voc rola para baixo (abaixo da Topologiade firewall), possvel ver as seguintes informaes de evento de segurana paraProd_Web:

A: Events: mostram qualquer alterao em Prod_MidTier (direta ou indireta) e oimpacto que elas geram nesse grupo de segurana

B: Security Group Configuration e o Firewall Rules Count tambm fornecem maisassistncia para gerenciar os endpoints.

C: VMs in Security Group garante visibilidade para que gerenciemos nossas cargasde trabalho e a segmentao com o nvel correto de eficincia.

HOL-1829-01-NET


D: Indirect Firewall Rules garantir que voc compreenda o impacto herdado e ocomunicaes que terminam no Prod_Web.

E: Direct Firewall Rules - OBSERVAO: Os links azuis exibiro detalhes adicionaisde cada segmento de firewall.

Este mdulo explicou o fluxo do trfego entre sub-redes e ou VLAN/VXLAN paraProd_MidTier e compreendemos a anlise que compe as regras de firewall. Asinformaes de uma segmentao especfica de uma mquina virtual em Prod_MidTierpodem ser visualizadas usando as informaes de switch lgico para Prod_MidTier.

1. Clique em Lab-Midtier (VMs em Security Group>Logical Switches>Lab-Midtier);uma nova GUIA se abrir na parte superior da tela.

Lab-Midtier

HOL-1829-01-NET


1. Passe o mouse (no clique) sobre (1) Prod-Web-9, com o foco neste objeto,o caminho de comunicao gerado.

Este o fluxo completo do Prod-Web-9 (exemplo), possvel visualizar como um fluxo rastreado da sobreposio para a subposio no Prod-Web.

No clique em nenhuma das bolhas, pois elas so usadas somente para referncia.

A - Os detalhes do host para Lab-Midtier-1 -ddc1-pod2esx035.dm.democompany.net

B - O nome da mquina no Lab-Midtier - Lab-Midtier-1 C - Grupo de portas virtuais distribudas - DVPG D - VXLAN - Lab-Midtier E - Primeiro VMKNIC para host DDC-1 F - Porta de switch DVS G - Switch DVS H - Por fim, exibindo a conexo L3 com o Arista em 10.254.146.132-MGMT

1. Quando terminar com a visualizao atual, feche esta guia no Chrome eretorne para a visualizao original.

Regra de firewall: rastreamento

Usando a barra de pesquisa, demostraremos como voc pode rastrear qualquer regrade firewall em seu ambiente. Este apenas um exemplo de como podemos procurarobjetos relacionados segurana com uma pesquisa simples e tambm exportar osresultados obtidos.

Pesquisa de porta

1. Digite na barra de pesquisa

Firewall rule where action ='ALLOW' and Port=443 (a barra de pesquisa usa preenchimentoautomtico, e um texto previsto exibido enquanto voc digita).

HOL-1829-01-NET


1. Clique em Search para continuar.

medida que digitar, observe as diferentes combinaes de consultas que podem seragrupadas.

Exportao de regras de firewall

Reserve um tempo para compreender e se familiarizar com as possibilidades destabusca e os insights que ela oferece.

1. No clique - O resultado agrupado para convenincia e permite que o usurioconsulte cada regra individualmente. Esse um link ao vivo que exibirinformaes adicionais.

2. No clique - O relatrio inteiro pode ser exportado usando a opo Save as CSVno canto superior direito da tela, mas no exportaremos nenhuma informaoneste ponto.

3. Para a prxima etapa, retornaremos barra de pesquisa superior.

HOL-1829-01-NET


Alterao de associao da regra de firewall

Usando a barra de pesquisa do vRealize Network Insight, na parte superior da tela,vamos nos concentrar em uma busca baseada em tempo para ver que alteraes deassociao no firewall ocorreram durante um perodo selecionado. Isso indicarqualquer alterao feita de forma direta ou indireta como resultado das alteraes deassociao. Isso extremamente til para auditoria e soluo de problemas.

1. Tipo

Alterao de associao da regra de firewall

1. Selecione a janela Date/Time.2. Clique em Presets. Selecione Last 30 Days (o uso de dados estticos garantir

que voc veja todas as alteraes).3. Clique em Search.

HOL-1829-01-NET


Regra de auditoria: alteraes de associao de regra defirewall

Agora, a pesquisa exibe o resultado de todas as alteraes feitas na associao de regrade firewall durante o intervalo de datas predefinido. Isso crucial para processos derastreamento e de auditoria de alteraes para compreender exatamente por que,quando e como as regras de firewall foram alteradas.

Agora, fcil fazer o rastreamento e a auditoria das alteraes, alm de export-las,seguindo qualquer dos links ao vivo em azul.

HOL-1829-01-NET


Evento definido pelo usurio

Continuando na mesma tela, os usurios podem criar alertas para notificar entidadesinternas e externas sobre qualquer alterao. O recurso de alerta est disponvel pormeio de qualquer visualizao que exiba o cone de alerta. Embora o alerta possa serconfigurado para esse laboratrio, no haver ao referente aos resultados pois osdados so estticos. Esta seo mostrar como fcil relatar qualquer alterao deassociao de regra de firewall. A opo para alerta estar disponvel imediatamente,dentro de uma hora ou como uma seleo diria.

1. Clique no cone Notifications para criar um evento. A tela de notificaes serexibida.

2. A notificao e os parmetros podem ser ajustados conforme necessrio.Preencha-os com suas preferncias, pois precisaremos de informaes a fim desalvar o alerta e visualiz-lo em etapas posteriores.

3. Depois de terminar, clique em Save.

HOL-1829-01-NET


Configuraes

Voc pode visualizar qualquer dos seus eventos definidos pelo usurio configuradosanteriormente para editar ou ativar os parmetros do evento usando a pgina deconfiguraes. As alteraes feitas podem ser configuradas para notificar os membrosdo grupo de eventos com base na preferncia do usurio. O evento que voc criouanteriormente pode agora ser rastreado usando a barra de pesquisa na parte superiorda tela.

1. Clique na barra de pesquisa e digite Settings.2. Clique em User-defined Events (seu alerta observado nesta seo pois

baseou-se na pesquisa original e na notificao de alerta "Firewall rulemembership change").

3. Somente para informaes - No clique - Visualizar/Editar/Ativar qualquernotificao.

Observe que temos dois tipos de notificaes: User-defined e System Events.

4. Clique em System Events.

HOL-1829-01-NET


Notificaes do sistema

Os eventos do sistema consistem em 103 alertas padro pr-configurados. Role a listapara baixo para ver todas as opes e o que considerada uma notificao de eventode sistema padro.

Cada notificao pode ser usada para alertar administradores ou usurios do grupo. Porpadro, todas as Notificaes do sistema so definidas como nunca notificar (isso podeser alterado para imediatamente, dentro de uma hora ou como uma seleo diria).

Com isso, conclumos este mdulo. Siga para o prximo mdulo.

HOL-1829-01-NET


ConclusoParabns por concluir o Mdulo 1.

Neste mdulo, apresentamos as etapas mnimas necessrias para facilitar aMicrossegmentao. Este mdulo demostrou como atingimos a prontido de dia zero,rastreamento, relatrio e alerta em cada objeto individual ou grupo de objetos emtempo real. Usando o trfego leste-oeste neste mdulo, o vRealize Network Insightdestacou a facilidade de adquirir anlise de rede e usar isso para gerar regras defirewall automaticamente para implantaes novas e existentes.

Principais fatos a ser lembrados conforme demonstrado neste mdulo:

Persistncia: diante de mudanas constantes, a segurana deve ser consistente Onipresena: a segurana deve estar disponvel em todos os lugares Extensibilidade: a segurana deve se adaptar a novas situaes

Para obter informaes adicionais sobre a funcionalidade demonstrada neste mdulo,acesse www.vmware.com

Feche o navegador Chrome.

Com isso, este mdulo est concludo; siga para o prximo.

Para obter mais informaes

Como encerrar o laboratrio

Para encerrar o laboratrio, clique no boto END ou em um mdulo da lista acima paracontinuar.

HOL-1829-01-NET


http://tinyurl.com/hdtaz6m

Mdulo 2: Visibilidadecompleta de redes

virtuais e fsicas (45minutos)

HOL-1829-01-NET


IntroduoO vRealize Network Insight inclui tcnicas de anlise avanadas que podem sercoletadas e dados de configurao de exibio de todos os componentes envolvidos nasobreposio e na subposio da rede. Os dados so coletados em tempo real.

O vRealize Network Insight apresenta isso por meio de uma interface de usuriointeligente e simplifica a determinao dos problemas, bem como a visibilidade dasconfiguraes de firewall e rede.


Total visibilidade e soluo de problemas de rede Pesquisa de linguagem simples

HOL-1829-01-NET


Total visibilidade e soluo deproblemas de redeEsta seo contm as seguintes lies:

Visualizao completa do fluxo de dados entre dois objetos de VM Pesquisa de linguagem simples




Selecione o favorito vRealize Network Insight

1. Selecione o atalho vRNI na barra de favoritos (se o vRealize NetworkInsight no carregar automaticamente).

HOL-1829-01-NET



Faa login no portal.

1. Nome de usurio: [email protected]. Senha: VMware1!3. Clique em Login para continuar.

Caminho e topologia

Este mdulo utilizar o recurso "Path and Topology" no vRealize Network Insight paraobter uma visibilidade completa de seu cenrio de rede prprio. A visualizao "Pathand Topology" pode tambm ter suporte estendido para hosts, redes L3, grupos desegurana etc., mas neste mdulo s nos concentraremos no caminho (Path).

HOL-1829-01-NET


No console principal:

1. Clique em "Path and Topology".2. Clique em "Path".

Path: selecione origem e destino

Na caixa pop-up:

1. Clique no campo cinza abaixo de "Source".2. Digite "dba" no campo de origem, e "DBAdmin-VM1" ser exibido.3. Clique em "DBAdmin-VM1" para selecion-lo.

HOL-1829-01-NET


Path: continuao de origem e destino

Aps selecionar a mquina de origem, a caixa de destino ser exibidaautomaticamente.

1. Digite "prod" no campo de destino, e a lista de opes disponveis serexibida.

2. Selecione "Prod-Db-2".

Observao: O destino pode tambm ser um endereo IP ou a Internet, mas nestelaboratrio vamos usar uma VM.

HOL-1829-01-NET


Path: continuao de origem e destino

1. Clique em Submit.

Procura do caminho

Com base nas VMs que selecionamos no assistente nas etapas anteriores, o campo depesquisa agora preenchido com uma string de pesquisa. Como alternativa ao uso doassistente, podemos tambm fazer pesquisas manuais.

No altere nenhum parmetro no campo de pesquisa e siga para a prxima etapa.

HOL-1829-01-NET


VM Path Topology e VM Underlay

A topologia envolve os componentes da Camada 3 e da Camada 2 e consiste em duasvisualizaes detalhadas.

1. VM Path Topology: esta visualizao detalha os roteadores, as bordas ou osroteadores de distribuio lgica (LDRs, Logical Distributed Routers) que estoenvolvidos no caminho de rede de VM para VM e fornece o roteamento completoe as informaes de NAT

2. VM Underlay: (a seo VM Underlay, que fica no lado direito da topologia decaminho da VM, mostra as informaes de subposio das VMs envolvidas e a

HOL-1829-01-NET


conectividade delas com a parte superior dos switches de suporte e das portasenvolvidas)

No campo com o nome "VM Path Topology":

1. Clique nos trs pontos no canto superior esquerdo do campo.2. Clique em Maximize.

A visualizao ser alterada, e a rota ser desenhada no mapa.

HOL-1829-01-NET


Topologia de caminho da VM: Path Details

Nesta visualizao, teremos uma viso completa da rede fsica e virtual. Veremos ocaminho do trfego entre duas mquinas virtuais. A seta preta na parte superior domapa indica a direo do fluxo do trfego. Neste caso de uso de "DBAdmin-VM1" para"Prod-Db-2".

No lado direito, os detalhes do caminho indicam as etapas pelas quais passamos emcada salto do caminho. O fluxo lgico inclui elementos fsicos e virtuais, exibindo oscomponentes de sobreposio e subposio.

1. Role pelos detalhes do caminho no lado direito para verificar os diferentessaltos no caminho. Observe que temos itens como VMs, switches fsicos, switchesvirtuais, roteadores e NICs na lista de detalhes.

HOL-1829-01-NET


Viso geral dos componentes

No mapa de topologia da VM:

1. Clique no cone superior esquerdo marcado com um quadrado vermelho:a mquina virtual "DBAdmin-VM1".

HOL-1829-01-NET


Mquina virtual: detalhes

Uma caixa pop-up ser exibida com os detalhes da mquina virtual. Essas informaesincluem muitos detalhes disponibilizados por VMware Tools. Por exemplo, podemos veras informaes de rede e o host fsico nesses detalhes.

A - Dedique algum tempo para obter uma viso geral das informaes disponveis.

B - Observe que o status do firewall indica "Unknown". Neste cenrio, no h firewall doNSX utilizado na VM, por isso o vRealize Network Insight exibe "Unknown" como status.Se forem utilizados componentes do NSX, mas houver mal funcionamento, umamensagem de erro ser exibida.

1. Ao terminar a anlise, feche as janelas pop-up clicando no (X) no canto superiordireito.

HOL-1829-01-NET


Hosts ESXi fsicos

Agora, analisaremos o host fsico que executa o ESXi. Os blocos verdes grandes indicamos hosts ESXi (A) e (B)

1. Clique no campo verde grande no lado esquerdo do mapa (marcado naimagem com um quadrado vermelho). Isso selecionar o host no qual "DBAdmin-VM1" est em execuo.

HOL-1829-01-NET


Host: detalhes

Uma caixa pop-up que contm o host ESXi fsico ser exibida.

A - Dedique algum tempo para analisar quais informaes esto disponveis sobre ohost. No clique em nenhum dos links.

B - Observe que recebemos informaes do Chassis e da Blade nos quais esse host ESXiest sendo executado. Em um ambiente real, poderamos clicar nos links para obterinformaes detalhadas sobre o ambiente fsico.

C - Observe que no h componentes do NSX no host. Por exemplo, podemos ver que o"Control Plane Sync Status" "unknown", e o "Number of VTEP's" zero.

1. Ao terminar a anlise, clique no (X) no canto superior direito.

HOL-1829-01-NET


DVPG no mapa

Vamos analisar o DVPG (Grupo de portas virtuais distribudas) que a VM usa para seconectar rede.

1. No mapa, clique na pequena caixa azul marcada por um quadradovermelho em vlan-629.

DVPG

HOL-1829-01-NET


Uma caixa pop-up que contm os detalhes do DVPG ser exibida.

A - Dedique algum tempo para analisar quais informaes do objeto esto disponveis.No clique em nenhum dos links.

B - Observe que IPFIX est ativado


VLAN-629 no mapa

Esta uma rede existente, conforme indicado pelos componentes da rede fsicaexibidos no mapa.

1. No mapa, clique na linha cinza marcada por um quadrado vermelho(vlan-629).

HOL-1829-01-NET


Rede VLAN

Uma caixa pop-up que contm os detalhes da VLAN ser exibida.

A - Dedique algum tempo para analisar as informaes disponveis. No clique emnenhum dos links.

B - Observe o VLAN ID. Essa a VLAN real em uso.

C - VM Count informa 12. Este o nmero de VMs localizadas nessa VLAN no ambienteinteiro.

D - Em Hosts podemos ver que so 28 (27+1). Essa a quantidade de hosts que tmuma conexo com essa VLAN no ambiente inteiro.


HOL-1829-01-NET


Portas de switch no mapa

1. No mapa, clique no cone marcado com um quadrado vermelho paraselecionar a porta de switch da VM.

Porta de switch

Uma caixa pop-up que contm os detalhes da Porta de switch ser exibida.

HOL-1829-01-NET


Nessa visualizao, estamos apenas analisando a camada 3 e a conectividade com osdispositivos da camada 3. Posteriormente neste mdulo, veremos alguns dosdispositivos de camada 2.

A - Dedique um tempo para analisar quais informaes esto disponveis. No cliqueem nenhum dos links.

B - Nesta visualizao, podemos ver a NIC fsica de onde o trfego est sendotransmitido e recebido. Neste cenrio, uma NIC em um malha do UCS. Podemostambm ver as VLANs, a velocidade da interface, a porta e outros detalhes da NIC.

1. Ao terminar a anlise, clique no (X) no canto superior direito da caixa pop-up.

VRF fsico no mapa

1. No mapa, clique no cone marcado com um quadrado vermelho paraacessar os detalhes do VRF fsico.

HOL-1829-01-NET


VRF: switch fsico

Uma caixa pop-up que contm os detalhes do VRF fsico ser exibida.


B - Neste cenrio, o primeiro salto na perspectiva da rede fsica um Cisco Nexus 7000.Estamos coletando todos os dados de configurao, as tabelas de roteamento e asinformaes da interface de roteamento desse dispositivo.


HOL-1829-01-NET


VRF: continuao

1. No mapa, clique no cone marcado com um quadrado vermelho paraacessar o prximo VRF fsico do caminho.

HOL-1829-01-NET


VRF: roteador fsico

HOL-1829-01-NET


Um pop-up que contm os detalhes do VRF fsico ser exibida.

Neste cenrio, o segundo salto na perspectiva da rede fsica um roteador Palo Alto(PA-5060). Nesta visualizao, veremos a tabela de roteamento, bem como regras defirewall. A plataforma vRealize Network Insight to avanada que essas regras defirewall so as aplicveis entre os dois objetos que procuramos. Provavelmente, havermilhares de regras de firewall em uma rede normal, mas essas so as que afetam acomunicao entre as duas VMs selecionadas.

A - Dedique algum tempo para analisar quais informaes esto disponveis. Noclique em nenhum dos links.


Observao: A integrao do Palo Alto demonstrada est em beta nomomento de criao deste laboratrio.

VRF: continuao

1. No mapa, clique no cone marcado com um quadrado vermelho paraacessar o prximo VRF fsico do caminho.

HOL-1829-01-NET


VRF: switch fsico

Um pop-up que contm os detalhes do VRF fsico ser exibida.

HOL-1829-01-NET



B - Neste cenrio, o terceiro salto na perspectiva da rede fsica um dispositivo Arista.H informaes disponveis sobre roteamento, gateways, interfaces etc. Esses detalhesdemonstram que podemos monitorar dispositivos de uma diversidade de fornecedores,caso estejamos trocando de um fornecedor para o outro.


Acesso infraestrutura virtual

As prximas duas etapas do caminho (conforme mostrado pelas setas) so iguais sanalisadas anteriormente neste mdulo. No vamos examinar os detalhes delas nestecenrio, pois so similares aos j discutidos anteriormente.

A - Passe/mova o mouse sobre os cones marcados com a seta vermelha A sem clicar nocone. Observe o nome descritivo.

B - Passe/mova o mouse sobre os cones marcados com a seta vermelha B sem clicar nocone. Observe o nome descritivo.

HOL-1829-01-NET


1. No mapa, clique no cone marcado com um quadrado vermelho paraacessar o prximo VRF do caminho.

VRF - Provider Edge 1 do NSX

HOL-1829-01-NET


Uma caixa pop-up que contm os detalhes do VRF ser exibida.


B - Os componentes que estamos analisando aps o dispositivo Arista (descrito emetapas anteriores) um cluster do NSX Edge ou um host associado com um cluster doEdge. O componente que selecionamos a VM do NSX Edge com o nome Provider-Edge1. Ele tem um uplink pela VLAN 10 da rede fsica (conforme mostrado no mapa).

C - Nos detalhes, podemos ver os detalhes da tabela de roteamento e da interface deroteamento para esse VRF especfico.


VXLAN no mapa

1. No mapa, clique na linha azul marcada por um quadrado vermelho paraacessar os detalhes da VXLAN.

HOL-1829-01-NET


Rede VXLAN

Uma caixa pop-up que contm os detalhes da VXLAN ser exibida.

A - Dedique algum tempo para analisar quais informaes esto disponveis no objeto.No clique em nenhum dos links.

B - Podemos ver o nmero da VXLAN (Segment ID), Underlay VLAN IDs, Subnet eUnderlay Subnet

C - Tambm temos visibilidade do que o Controlador principal est utilizando, dos hostse VTEPs.

D - Passe/mova o cursor do mouse sobre o texto [38 more] para ver os hostsassociados a essa VXLAN. No clique no texto em azul.

D - Passe/mova o cursor do mouse sobre o texto [82 more] para ver os VTEPsassociados a essa VXLAN. No clique no texto em azul.

1. Ao terminar a anlise, clique no X no canto superior direito da caixa pop-up.

HOL-1829-01-NET


VRF: LDR

1. No mapa, clique no cone marcado com um quadrado vermelho paraacessar os detalhes do VRF.

HOL-1829-01-NET


VRF: LDR-corporativo

Uma caixa pop-up que contm os detalhes do VRF ser exibida. Nela, acessamos nossarede do kernel.

HOL-1829-01-NET



B - Observe o nome do roteador distribudo. Estamos usando esse dispositivo paraacessar nossa rede corporativa.

C - Este dispositivo far o roteamento para uma interface diferente. A interface rotearpara a interface na rede Prod-DB como a prxima etapa no caminho (isso ser ilustradona prxima etapa).


Roteamento: firewall do NSX

O trfego roteado por meio do VRF para a rede Prod-DB at chegar ao prximo hostfsico (conforme mostrado com as setas).

O primeiro dispositivo a que chegar na rede virtual no host fsico o firewall. Observeque h dois firewalls ao lado da VM. Um firewall da Palo Alto e um firewall do NSX.

1. No mapa, clique no cone marcado por um quadrado vermelho paraacessar detalhes do Firewall do NSX (o de cima).

HOL-1829-01-NET


Firewall: NSX

Uma caixa pop-up que contm os detalhes do Firewall ser exibida.



HOL-1829-01-NET


Redirecionamento no mapa: firewall da PAN

Observe que h dois firewalls ao lado da VM. Um firewall da Palo Alto e um firewall doNSX. Agora vamos olhar os detalhes do firewall de baixo.

1. No mapa, clique no cone marcado por um quadrado vermelho paraacessar detalhes do Firewall da Palo Alto (o desenho de baixo).

Firewall: PAN

HOL-1829-01-NET


Neste cenrio, temos um firewall de transferncia baseado em uma VM de Palo Alto. Orecurso de redirecionamento permite que as regras de firewall sejam transferidas entreo firewall do NSX e o firewall da PAN.


Reverso da anlise

1. Na seo marcada por um quadrado vermelho na imagem , clique na seta queaponta para a esquerda.

A rota no mapa ser alterada.

HOL-1829-01-NET


Continuao da reverso da anlise

A - A anlise ser feita agora na direo oposta. Observe que o caminho agora alterado. Em vez de passar por Provider-Edge 3, o trfego agora roteado por meiode Provider-Edge 2. exatamente assim que o trfego funcionar na vida real.

Siga para a prxima etapa para concluir este mdulo.

HOL-1829-01-NET


VM Underlay

Agora vamos concentrar em VM Underlay.

1. A seo VM Underlay, que fica no lado direito da topologia de caminho da VM,mostra as informaes de subposio das VMs envolvidas e sua conectividadecom a parte superior dos switches de suporte e das portas envolvidas.

2. A topologia do caminho de subposio da VM mostrada aqui.3. Os componentes so rotulados em Path Details

HOL-1829-01-NET


HOL-1829-01-NET


1. Nesta seo, a lista suspensa na parte superior mostra as VMs do endpoint e asVMs ativas nas bordas.

2. Para cada VM do Edge, a lista suspensa vizinha mostra os endereos IP dainterface de entrada e de sada.

1. Na etapa anterior, selecionamos a Mquina virtual Prod-DB-22. Ela altera o foco para o Endereo IP da interface (VNIC) correspondente3. Mostra o mapa visual (Topologia de caminho) de todos os objetos do caminho4. Os detalhes do caminho mostram os rtulos e listam os componentes.


HOL-1829-01-NET



Este mdulo nos mostrou que o vRealize Network Insight capaz de rastrear o fluxo dedados entre dois objetos em toda a rede. O vRealize Network Insight nos fornece umavisualizao total do virtual, bem como os componentes virtuais no caminho. Com afuno do mapa e os detalhes contidos nele, muito fcil obter uma viso geral doscomponentes utilizados na comunicao de rede.

Todos os componentes do mapa se baseiam em um snapshot de dados da vida real.Voc pode clicar em outros cones mostrados no mapa deste mdulo antes de continuarpara o prximo mdulo e olhar os outros componentes.

HOL-1829-01-NET



Para obter informaes adicionais sobre a funcionalidade demonstrada neste mdulo,visite http://www.vmware.com/vrealizenetwork insight.


Se voc est procurando informaes adicionais, experimente uma destas opes:

Clique neste link Se preferir, use seu dispositivo inteligente para fazer a leitura do cdigo QRC.

Continue em qualquer mdulo abaixo que seja do seu interesse.

Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos) (30 minutos)



HOL-1829-01-NET


http://www.vmware.com/vrealizenetworkinsighthttps://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

Mdulo 3: Gerenciamentoe operaes avanados

do NSX (45 minutos)

HOL-1829-01-NET


IntroduoIntroduo

O vRealize Network Insight garante que tenhamos visibilidade completa de umaperspectiva de sobreposio e subposio. O foco deste mdulos so as operaesavanadas do NSX com o vRealize Network Insight. importante observar que ovRealize Network Insight oferece uma visualizao em tempo real e umavisualizao histrica. A integrao no apenas uma simples consulta SNMP, masinformaes avanadas de interface de linha de comando e metadados coletadas emtempo real para o NSX.


Orientao operacional para o NSX Manager. Simulao interativa de gerenciamento e operaes avanados do NSX.

HOL-1829-01-NET


Operaes de gerenciamento avanadodo NSXVerificao de status do laboratrio


Feche as sesses de navegador de mdulos anteriores.




HOL-1829-01-NET



1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insightno carregar automaticamente)


Faa login no portal


HOL-1829-01-NET



Barra de pesquisa: NSX Manager

Uso da barra de pesquisa na tela de entrada

1. Digite NSX Manager (isso listar trs NSX Managers)2. Clique em Search.

Informaes do NSX Manager

O resultado agora mostra o NSX Manager (10.16.128.170) e podemos verimediatamente que temos 50 problemas associados a esse endpoint.

1. Clique no endereo do NSX Manager para exibir o layout e as informaesdetalhadas.

HOL-1829-01-NET


Linha do tempo: construo visual

Somente explore as informaes - No clique

A - Comeando com Timeline podemos manipular os resultados simplesmentearrastando o controle deslizante, mas por padro os resultados atuais seroexibidos na entrada. O controle deslizante e o menu suspenso (prximo a 1 day)facilitam a filtragem sob demanda.

B - As Properties oferecem uma compreenso clara da configurao atual dosNSX Managers (o vRealize Network Insight acomoda vrios NSX Managers)

C - Analisando as NSX Checklist Rules - ALL, podemos rolar para baixo e paracima para visualizar cada ponto da lista de verificao que usado paramonitorar/validar o NSX Manager.

HOL-1829-01-NET


D - Como o vRealize Network Insight oferece suporte a vrios NSX Managers evrios NSX Controllers, esse um entendimento visual importante da Topologia.Cada objeto pode ser consultado individualmente na mesma tela.

E - NSX Problems sero fundamentais para compreender os problemas do NSX.

Topologia: foco no NSX Controller

A visualizao lgica da Topologia do NSX fornece links ao vivo para que cadacomponente na estrutura seja consultado em tempo real. O layout da topologia exibetodos os servios NSX relacionados vinculados ao NSX Manager, incluindo clusters ehosts. O tringulo vermelho em todos os trs controladores do NSX indica problemasque podem afetar o ambiente do NSX como um ponto de partida ou um resultado.Agora, podemos consultar cada objeto em busca de informaes detalhadas

1. Clique no controlador do NSX (analise cada controlador at descobrir ocontrolador que comea com NSX_Controller_5b6c6c8d-4d71..... pois elesmudam de ordem).

HOL-1829-01-NET


NSX Controller: detalhe

A - A consulta do controlador exibe informaes detalhadas sobre o controller-1 e aconfigurao relevante. Essa tela ajudar a identificar o status, a verso, adisponibilidade de upgrade e muitos outros identificadores essenciais do NSX Controllerem uma visualizao imediata incluindo qualquer problema.

B - O problema imediato desse controlador do NSX tambm indicado com umtringulo vermelho que sinaliza que temos um problema de sinalizao de camada decontrole. O controle do problema pode ser investigado mais a fundo expandindo(clicando no tringulo vermelho) para visualizar informaes detalhadas. Noinvestigaremos esse problema detalhadamente neste exerccio.

1. Clique no cone de fechamento (x) para continuar.

HOL-1829-01-NET


Topologia: explicao

Observao: A topologia do ambiente do NSX no exibir nenhuma informao dedispositivo de balanceamento nesta verso.

1. Clique no cone Edge VMs para ver informaes detalhadas sobre os serviosde borda.

HOL-1829-01-NET


Provedor Edge

Com a renderizao de uma visualizao completa dos servios de borda do fornecedore das associaes podemos investigar todas as atividades relacionadas borda.

1. Clique no link em azul Provider Edge 4. O cone do problema pode ser usadopara obter informaes adicionais sobre o Provider-Edge 4. Isso destacar umacondio crtica devido a uma possvel interrupo de rede desse dispositivo derede, pois ele no est mais em um estado funcional.

HOL-1829-01-NET


Provedor de roteadores Edge 4

Esta seo descreve a anlise de causa raiz detalhada para o Edge 4

HOL-1829-01-NET


Retorno para a visualizao de pesquisa: NSX Manager

1. Agora, use o boto Voltar do Chrome, clique uma vez para retornar para aetapa da tela de informaes do NSX Manager.

Problemas de infraestrutura - Warning/Moderate

Role para baixo at a seo "Infrastructure Problems".

1. Clique em Warning/Moderate para visualizar reas com problemas.

HOL-1829-01-NET


Problemas do tipo Aviso/moderar

1. Use o cone azul + para expandir a visualizao detalhada da "Logical networkingout of sync between host and NSX Controller".

Problemas do tipo Aviso/moderar (continuao)

HOL-1829-01-NET


Ao expandir os detalhes, voc pode analisar os detalhes completos do aviso.

Nesta visualizao, o vRealize Network Insight tambm est mostrando recomendaessobre como voc resolveria esse problema, o que facilita muito a soluo de problemase a anlise de causa raiz.


HOL-1829-01-NET


Simulao interativa dos laboratriosprticos: gerenciamento e operaesavanados do NSXEsta parte do laboratrio apresentada como uma Simulao interativa doslaboratrios prticos. Com isso, voc poder praticar as etapas. Elas consistem emum processo longo ou que exige muitos recursos para ser feito em tempo real noambiente do laboratrio. Nesta simulao, voc poder usar a interface do softwarecomo se estivesse interagindo em um ambiente real.

1. Clique aqui para abrir a simulao interativa.Ela ser aberta em uma nova janelaou guia do navegador.

2. Ao concluir, clique no link "Return to the lab" para continuar este laboratrio.

HOL-1829-01-NET


http://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni-pt.htmhttp://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni.htm


Este mdulo demonstrou o recurso de operaes de gerenciamento avanadas dovRealize Network Insight. O vRealize Network Insight fornece uma anlise detalhada doscomponentes virtuais e fsicos associados ao NSX (subposio e sobreposio).


Se voc est procurando informaes adicionais, experimente uma destas opes:

Clique neste link Se preferir, use seu dispositivo inteligente para fazer a leitura do cdigo QRC.

Continue em qualquer mdulo abaixo que seja do seu interesse.

Mdulo 1: Microssegmentao e segurana (30 minutos) Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45 minutos) Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos) Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS)

(30 minutos)



HOL-1829-01-NET


https://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

Mdulo 4: Gerenciamentoda segurana para as

nuvens pblicas (AWS)(30 minutos)

HOL-1829-01-NET


IntroduoA TI corporativa precisa de visibilidade do status de rede e segurana de suas cargas detrabalho, independentemente de se esto hospedadas no local ou na AWS. Emboramuitas cargas de trabalho de AWS sejam sandboxes para equipes de desenvolvimentode aplicativos (DevOps), importante analis-las. Cada vez mais, as cargas de trabalhoesto atendendo s necessidades essenciais de produo para muitas organizaes. ATI corporativa deve estar pronta para determinar o melhor local, postura de segurana ealocao de largura de banda ao implantar cargas de trabalho. A disponibilidade dedetalhes de padro de trfego, anlise de segurana e recomendaes prontamentedisponveis ajuda as organizaes a tomar decises de hospedagem ideais para atenders necessidades da empresa.

O vRealize Network Insight (vRNI) oferece suporte nuvem pblica Amazon WebServices (AWS). Os recursos de monitoramento de trfego do vRNI fornecemvisibilidade das estruturas da AWS nativas como Virtual Private Clouds, VMs, grupos desegurana, regras de firewall e tags. O vRNI tambm analisa os fluxos de trfego daAWS para fornecer segurana e visualizaes de microssegmentao das cargas detrabalho da nuvem. Isso significa que voc poder planejar a microssegmentao ecompreender os padres de trfego usando os dados coletados de suas instncias daAWS.


Introduo ao Gerenciamento da segurana para as nuvens pblicas (AWS)

HOL-1829-01-NET


public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/&lpos=apps_scodevmw : 17

Introduo ao Gerenciamento dasegurana para as nuvens pblicas(AWS)Verificao de status do laboratrio


Feche as sesses de navegador de mdulos anteriores.




HOL-1829-01-NET



1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insightno carregar automaticamente)


Faa login no portal


HOL-1829-01-NET



Configurao de AWS

Vamos analisar a configurao de VPC do AWS para a finalidade deste laboratrio.

1. Temos uma instncia no local do vRealize Network Insight gerenciando o AWS.2. H dois VPCs: CRM e Common Services.3. O VPC CRM consiste em um aplicativo de CRM composto de trs camadas: Web,

APP e DB.4. Os usurios internos da empresa podem acessar a camada da Web do CRM na

porta 80 internamente por meio de um host administrativo seguro.5. A camada da Web se comunica com a camada do App na porta 8080.6. A camada do App se comunica com a camada de DB na porta 3306.7. A camada da Web est aberta para a VM de data centers internos na porta 80.8. No host administrativo seguro do VPC: todas as mquinas virtuais do CRM tm

acesso ssh na porta 22.9. Todas as camadas do VPC: o CRM se comunica com o servidor DNS na porta 53 e

com o LogServer na porta 514 no VPC: Common Services.10. Isso significa conexo com o DB para servidor de log (usado para servios de

backup) deve existir conforme configurado pelo administrador; mas, na realidade,esta a rea com problema que ser nosso foco.

HOL-1829-01-NET


Planejamento de segurana: nuvem AWS

O vRealize Network Insight estende o planejamento da microssegmentao paraestruturas do AWS. O aplicativo "CRM" no VPC da AWS j foi criado para voc.

As etapas de criao de aplicativo foram discutidas no Mdulo 3.

1. No vRealize Network Insight, clique em Plan Security

Na caixa de dilogo Plan Security , em Entity, selecione

1. Application

HOL-1829-01-NET


2. CRM3. Clique em Analyze

Podemos agora visualizar o aplicativo "CRM" de trs camadas na AWS em um VPC.Vamos explorar a lgica do sistema de trs camadas nas etapas a seguir.

1. Observe que Micro-Segments j est filtrado by Tier2. Web (a camada da Web se comunica com a camada do App na porta 8080. Os

usurios internos da organizao podem acessar a camada da Web do aplicativodo CRM na porta 80 internamente)

3. App (a camada do App se comunica com a camada do DB na porta 3306)4. DB (A camada do DB se comunica com servidores de log): esta uma rea com

problema que vamos explorar.

Todas as camadas do primeiro VPC se comunicam com o servidor DNS na porta 53 ecom o servidor de log na porta 514 do segundo VPC

HOL-1829-01-NET


Explorao do aplicativo de trs camadas: passo a passo

Agora, vamos explorar a configurao do aplicativo de trs camadas para compreenderas configuraes de segurana e comunicao.

1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na linha amarela para explorar os fluxos. Isso revelar os fluxos da Web

at o App.

HOL-1829-01-NET


1. A camada Web se comunica com a camada App na porta 8080.2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelar os fluxos do App at o

DB.

HOL-1829-01-NET


1. A camada do App se comunica com a camada de DB na porta 3306.2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha amarela para explorar os fluxos. Isso revelar os fluxos de DC

Virtual at App.

HOL-1829-01-NET


1. O DC Virtual (host administrativo seguro) se comunica com a camada do App naporta 22.

2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso mostrar os fluxos do App at

Shared Virtual.

HOL-1829-01-NET


1. A camada do App se comunica com Shared Virtual na porta 53 e 514respectivamente.


HOL-1829-01-NET


1. Passe o mouse sobre Microssegmento de DB.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelar os fluxos do DB at

Shared Virtual.

HOL-1829-01-NET


1. O DB foi planejado para enviar logs para "aws-log-server", ou seja, na porta 514(Syslog), mas o fluxo revela que h somente um servio, aws-DNS-Server daporta 53. Em termos prticos, no h comunicao com o servidor syslog (que o servio de backup).


Consultas de firewall para o aplicativo de CRM

Para tratamento adicional do problema, o administrador pode executar trs consultas defirewall para estabelecer por que o DB para Shared Virtual no tem fluxos para a porta514 (syslog).

HOL-1829-01-NET


1. No navegador Chrome, clique com o boto direito do mouse2. Selecione Duplicate no menu

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior edigite a nova consulta de pesquisa: firewall action of flows where dst vm ='aws-log-server' Isso retornar 5 resultados: 4 Allow (para Web e midtier) e 1Deny (para DB)

2. Clique em Search3. Clique na caixa de seleo DENYpara direcionar o foco para a regra de negao

Podemos ver uma regra DENY que est impedindo o crm-databse de se comunicarcom aws-log-server na porta 514. Isso indica que o Admin da AWS se esqueceu de

HOL-1829-01-NET


adicionar a regra para permitir o trfego do (Banco de dados) crm-database para (oservidor syslog) aws-log-Server.

1. No navegador Chrome, clique com o boto direito do mouse.2. Selecione Duplicate no menu.

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior e asubstitua digitando a nova string de pesquisa: aws firewall rule where src vm= 'crm-web1' e dst vm = 'aws-log-server'.

HOL-1829-01-NET


2. Clique em Search3. Isso retornar 3 resultados: 1 regra de entrada e 2 regras de sada. O resultado

desta consulta valida a comunicao de "crm-web1" com "aws-log-server"

1. No navegador Chrome, clique com o boto direito do mouse.2. Selecione Duplicate no menu.

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior e asubstitua digitando a nova string de pesquisa: aws firewall rule where src vm= 'crm-database' e dst vm = 'aws-log-server'.

HOL-1829-01-NET


2. Clique em Search.3. Isso retornar 2 resultados para Regras de sada, explicando mais

detalhadamente o comportamento da regra de firewall do crm-database paraaws-log-server.

HOL-1829-01-NET



Este mdulo demostrou o recurso do vRealize Network Insight de compreender ospadres de trfego e planejar a microssegmentao em seus ambientes de nuvemprivada e pblica. Essa capacidade oferece visibilidade inigualvel das nuvens pblicase privadas para planejamento de microssegmentao, visibilidade de rede egerenciamento.




HOL-1829-01-NET


ConclusionThank you for participating in the VMware Hands-on Labs. Be sure to visithttp://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1829-01-NET.zip

Version: 20171201-202848

HOL-1829-01-NET


http://hol.vmware.com/

Table of ContentsViso geral do laboratrio - HOL-1829-01-NET - Como comear com o vRealize Network InsightOrientao de laboratrioLocalizao do Console principalMtodos alternativos de entrada de dados por tecladoClique e arraste o contedo do manual do laboratrio para a janela ativa do consoleAcesso ao teclado internacional on-lineClique uma vez na janela ativa do consoleClique na tecla @vRealize Network Insight: navegaoSolicitao ou marca d'gua de ativaoObserve a parte inferior direita da tela

Mdulo 1: Microssegmentao e segurana (30 minutos)IntroduoIntroduo microssegmentaoVerificao de status do laboratrioAbra o Google ChromeSelecione vRealize Network Insight FavoritevRealize Network Insight: tela de loginPlanejamento da seguranaPlanejamento da segurana: especifique uma predefinioViso geral: distribuio de trfego (painel esquerdo)Distribuio de trfego: viso geral (painel direito)Leste-oeste (EW)- TrfegoLeste-oeste (EW) - Visualizao detalhadaServios/portasServios/portas - Visualizao de linha do tempoServios/portas - Servio num dado perodo de tempoFluxos para a porta 5443Flow Key Properties: visualizao da linha do tempoFlow Key Properties: visualizao da linha do tempoMicrossegmentosFoco na rede 10.17.8.0Foco: VLAN/VXLANFoco: Prod-Web (25)Fluxos: Prod-Web a Prod-MidtierFluxos: regras de firewall recomendadasVrias portas e regras de firewall para Prod-webServios e fluxos para Prod-WebMicrossegmentao centrada no aplicativoDefinir um aplicativoGrupo de segurana "Prod_MidTier"Resultados: PROD_MIDTIERGrupo de segurana Prod_MidTier: linha do tempoTopologia de firewall do grupo de seguranaRastreamento de Prod_MidTierLab-MidtierRegra de firewall: rastreamentoPesquisa de portaExportao de regras de firewallAlterao de associao da regra de firewallRegra de auditoria: alteraes de associao de regra de firewallEvento definido pelo usurioConfiguraesNotificaes do sistema

ConclusoPara obter mais informaesComo encerrar o laboratrio

Mdulo 2: Visibilidade completa de redes virtuais e fsicas (45 minutos)IntroduoTotal visibilidade e soluo de problemas de redeAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginCaminho e topologiaPath: selecione origem e destinoPath: continuao de origem e destinoPath: continuao de origem e destinoProcura do caminhoVM Path Topology e VM UnderlayTopologia de caminho da VM: Path DetailsViso geral dos componentesMquina virtual: detalhesHosts ESXi fsicosHost: detalhesDVPG no mapaDVPGVLAN-629 no mapaRede VLANPortas de switch no mapaPorta de switchVRF fsico no mapaVRF: switch fsicoVRF: continuaoVRF: roteador fsicoVRF: continuaoVRF: switch fsicoAcesso infraestrutura virtualVRF - Provider Edge 1 do NSXVXLAN no mapaRede VXLANVRF: LDRVRF: LDR-corporativoRoteamento: firewall do NSXFirewall: NSXRedirecionamento no mapa: firewall da PANFirewall: PANReverso da anliseContinuao da reverso da anliseVM Underlay


Mdulo 3: Gerenciamento e operaes avanados do NSX (45 minutos)IntroduoOperaes de gerenciamento avanado do NSXVerificao de status do laboratrioAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginBarra de pesquisa: NSX ManagerInformaes do NSX ManagerLinha do tempo: construo visualTopologia: foco no NSX ControllerNSX Controller: detalheTopologia: explicaoProvedor EdgeProvedor de roteadores Edge 4Retorno para a visualizao de pesquisa: NSX ManagerProblemas de infraestrutura - Warning/ModerateProblemas do tipo Aviso/moderarProblemas do tipo Aviso/moderar (continuao)

Simulao interativa dos laboratrios prticos: gerenciamento e operaes avanados do NSXConclusoPara obter mais informaesComo encerrar o laboratrio

Mdulo 4: Gerenciamento da segurana para as nuvens pblicas (AWS) (30 minutos)IntroduoIntroduo ao Gerenciamento da segurana para as nuvens pblicas (AWS)Verificao de status do laboratrioAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginConfigurao de AWSPlanejamento de segurana: nuvem AWSExplorao do aplicativo de trs camadas: passo a passoConsultas de firewall para o aplicativo de CRM


Conclusion

Table of Contents - docs.hol.vmware.comdocs.hol.vmware.com/HOL-2018/Localization/manuals/pt/manualexport... · de como usar o vRealize Network Insight. ... ... Abra o Google Chrome

Documents