Stellen Sie ERSPAN mit einem ExtraHop-Sensor und einem Brocade 5600 vRouter in AWS bereit
In diesem Handbuch wird erklärt, wie Sie eine Beispielumgebung innerhalb von Amazon
Web Services (AWS) mithilfe der integrierten ERSPAN-Funktionen auf dem ExtraHop installieren und konfigurieren Sensor und der Brocade
5600 vRouter.
Mit Encapsulated RSPAN (ERSPAN) können Sie den Verkehr auf mehreren
Netzwerkschnittstellen oder VLANs überwachen und den überwachten Verkehr an ein oder mehrere Ziele senden, einschließlich ExtraHop
Sensoren. Konfiguration von ERSPAN auf dem Brocade 5600 vRouter mit dem ExtraHop Sensor ermöglicht
zusätzliche geschäftskritische Datenverkehrsanalysen, Überwachung und Transparenz auf AWS und anderen
Cloud-Plattformen.
Zusätzliche Referenzen
Das Dokument setzt ein gewisses Maß an Vertrautheit mit Netzwerken voraus. Für die Ausführung der
Schritte in diesem Handbuch ist ein AWS-Konto erforderlich. Wenn Sie neu bei ExtraHop, Brocade oder Amazon Web
Services sind, finden Sie unter den folgenden Links weitere Informationen:
Konfigurieren Sie ein AWS Virtual Private Cloud-Netzwerk
In diesem Abschnitt konfigurieren Sie eine neue Virtual Private Cloud (VPC), ein
Internet-Gateway, Subnetze und Routing-Dienste.
Eine VPC erstellen
Melden Sie sich bei der AWS-Konsole an.
In der Netzwerkbetrieb Abschnitt, klicken
VPC.
In der Virtuelle private Cloud Abschnitt, klicken
Deine VPCs und dann klicken
VPC erstellen.
In der Namensschild Feld, geben Sie einen Namen für die VPC ein.
In der CIDR-Block Feld, geben Sie einen Block von IP-Adressen für
das Netzwerk ein, z. B. 10.4.0.0/16.
In der Mietverhältnis Feld, lassen Sie die Option auf gesetzt
Standard.
klicken Ja, Erstellen.
Hinweis:
Notieren Sie sich die VPC-ID (vpc-nnnnnnnn), die für das nächste Verfahren benötigt wird.
Ein Internet-Gateway erstellen
Klicken Sie im Navigationsbereich auf Internet-Gateways, und klicken Sie
dann Internet-Gateway erstellen.
In der Namensschild Feld, geben Sie einen Namen zur Identifizierung des
Internet-Gateways ein.
Diese Einstellung ermöglicht öffentlichen Verkehr in und aus Ihrer Virtual Private
Cloud.
klicken Ja, Erstellen.
Notieren Sie sich die Gateway-ID (igw-nnnnnnnn).
klicken An VPC anhängen.
Wählen Sie in der Dropdownliste die VPC aus, die Sie erstellt haben, und klicken Sie dann auf
Ja, anhängen.
Routen festlegen
Bevor Datenverkehr in die neue VPC hinein oder aus ihr heraus zugelassen wird,
müssen Routing- und Verkehrssicherheitsregeln konfiguriert werden. Standardmäßig ist der gesamte ausgehender Datenverkehr zulässig, eingehender Datenverkehr ist jedoch restriktiver
.
Klicken Sie im Navigationsbereich auf Routentabellen.
Wählen Sie in der Tabelle das Kontrollkästchen neben der Route aus, die mit
der von Ihnen erstellten VPC verknüpft ist.
Klicken Sie auf Strecken Tabulatortaste, und klicken Sie dann auf
Bearbeiten.
klicken Eine weitere Route hinzufügen.
Geben Sie im Feld Ziel Folgendes ein 0.0.0.0/0.
In der Ziel Feld, geben Sie das Namensschild ein, das Sie für das
Internet-Gateway eingegeben haben.
klicken Speichern.
Erstellen Sie ein Subnetz
Dieses Beispielnetzwerk hat ein öffentliches und ein privates Subnetz innerhalb des CIDR-Blocks, den Sie zuvor
konfiguriert haben. Sie konfigurieren 10.4.0.0/24 als öffentliches Subnetz und 10.4.1.0/24 als privates Subnetz.
Klicken Sie im Navigationsbereich auf Subnetze, und klicken Sie dann
Subnetz erstellen.
In der Namensschild Feld, geben Sie einen Namen für das Subnetz ein.
Aus dem VPC Wählen Sie in der Dropdownliste die
zuvor erstellte VPC aus.
Optional: Aus dem Verfügbarkeitszone Wählen Sie in der Dropdownliste die
Amazon-Verfügbarkeitszone aus, in der sich das Subnetz befinden soll.
In der CIDR-Block Feld, geben Sie den öffentlichen CIDR-Block von ein
10.4.0.0/24.
klicken Ja, Erstellen.
Wiederholen Sie die Schritte 1—6, um ein privates Subnetz mit dem zu erstellen
10.4.1.0/24 CIDR-Block.
Ordnen Sie die Routing-Tabelle dem Subnetz zu
Klicken Sie im Navigationsbereich auf Routentabellen.
Stellen Sie sicher, dass es sich bei der ausgewählten Routing-Tabelle um die Tabelle mit dem Internet-Gateway handelt, die Sie zuvor
erstellt haben.
Klicken Sie auf Subnetzzuordnungen Registerkarte.
klicken Bearbeiten und wählen Sie das öffentliche Subnetz von
10.4.0.0/24, und klicken Sie dann
Speichern.
klicken Routentabelle erstellen um eine neue Routing-Tabelle für
das private Subnetz zu erstellen 10.4.1.0/24.
In der Namensschild Feld, geben Sie einen Namen für die Routentabelle ein,
wählen Sie die VPC aus, die Sie zuvor erstellt haben, und klicken Sie dann auf Ja,
Erstellen.
Wählen Sie die Routentabelle aus, die für das private Subnetz erstellt wurde
10.4.1.0/24.
Wählen Sie den Subnetzzuordnungen Registerkarte.
klicken Bearbeiten und wählen Sie das private Subnetz
10.4.1.0/24 und dann klicken Speichern.
Notieren Sie sich diese Routentabelle. In einem nachfolgenden Schritt wird eine Zuordnung zur
privaten Schnittstelle des Brocade vRouters mit einer Route hergestellt.
Regeln für eingehenden Datenverkehr zur Sicherheitsgruppe hinzufügen
Wählen Sie im Navigationsbereich Ihre neue VPC aus der Nach
VPC filtern Pulldown.
Klicken Sie im Navigationsbereich auf Sicherheitsgruppen.
Die Sicherheitsgruppe verfügt über Regeln, die den Datenverkehr in die VPC zulassen. Die Ersteinrichtung
erlaubt den gesamten Verkehr von sich selbst, alles ICMP (damit Sie den Ping der Schnittstelle
testen können) und SSH auf Port 22 testen.
Wählen Sie die Standardsicherheitsgruppe für Ihre neue VPC aus.
Klicken Sie auf Regeln für eingehende Nachrichten Tabulatortaste und dann klicken
Bearbeiten.
klicken Eine weitere Regel hinzufügen.
Wählen Alles ICMP aus der Drop-down-Liste und tippe
0.0.0.0/0 in der Quelle
Feld.
klicken Eine weitere Regel hinzufügen.
Wählen SSH (22) aus der Drop-down-Liste und tippe
0.0.0.0/0 in der Quelle Feld.
klicken Speichern.
Hinweis:
Dies ist eine Konfiguration, die nicht für die Produktion bestimmt ist. Normalerweise würden Sie nicht allen
IP-Adressen den Zugriff auf Ihre Instance gestatten.
Zusammenfassung
In diesem Abschnitt haben Sie eine virtuelle öffentliche Cloud, ein privates Subnetz für das
10.4.1.0/24-Netzwerk und ein öffentliches Subnetz für das 10.4.0.0/24-Netzwerk erstellt. Darüber hinaus haben Sie Routingtabellen
für das Routing des Datenverkehrs innerhalb der VPC-Subnetze und extern über ein Internet-Gateway erstellt.
Sicherheitsgruppen lassen Datenverkehr in oder aus der VPC zu, und Sie haben die Regeln für eingehenden Datenverkehr so konfiguriert, dass ICMP und
SSH-Verkehr.
Den Brocade 5600v-Router konfigurieren
In diesem Abschnitt konfigurieren Sie einen neuen Brocade 5600v-Router innerhalb des zuvor
erstellten öffentlichen Subnetzes und weisen eine Elastic IP zu, um das Setup über SSH zu konfigurieren und zu testen.
Klicken Sie in der oberen linken Ecke auf das Symbol Console Home, um zur Seite der
AWS-Managementkonsole zurückzukehren.
Klicken Sie im Abschnitt Berechnen auf EC2.
Klicken Sie im Navigationsbereich auf Instanzen.
klicken Instanz starten um den Amazon Machine Image
(AMI) -Assistenten zu starten.
klicken AWS-Marktplatz und tippe
5600 oder Brocade vRouter in der
Suchen Sie nach AWS Marketplace-Produkten Feld und drücken Sie dann die
EINGABETASTE.
Klicken Sie auf Wählen Schaltfläche neben Brocade 5600
Virtueller Router/Firewall/VPN.
Wählen Sie für dieses Beispiel die m4. groß geben Sie den Instanztyp ein und klicken Sie
dann Weiter: Instanzdetails konfigurieren.
Auf dem Instanzdetails konfigurieren Seite, führe die
folgenden Schritte aus:
Typ 1 in der Anzahl der
Instanzen Feld.
Aus dem Netzwerk Wählen Sie in der Dropdownliste die VPC aus, die
Sie im ersten Abschnitt dieses Handbuchs erstellt haben.
Wählen Sie aus der Dropdownliste Subnetz das öffentliche Subnetz aus.
10.4.0.0/24.
In der Netzwerkschnittstellen Abschnitt unten auf
der Seite, geben Sie 10,4.0,187 in der
Primäre IP Feld.
klicken Weiter: Speicher hinzufügen. Behalten Sie die
Standardspeichereinstellungen bei und klicken Sie dann auf Weiter: Tag-Instanz.
Geben Sie einen beliebigen Namen in das Wert Feld für die
Name Schlüssel zur Identifizierung der Instanz. Fügen Sie weitere
Tags hinzu, um diese Instanz in der Umgebung zu identifizieren, und klicken Sie dann auf
Weiter: Sicherheitsgruppe konfigurieren.
Wählen Wählen Sie eine bestehende Sicherheitsgruppe und wählen Sie dann
die Standard-Sicherheitsgruppen-ID für Ihre VPC aus.
Stellen Sie sicher, dass die zuvor erstellten Regeln angewendet wurden. Zum Beispiel SSH und ICMP
sind immer noch aufgeführt und ihre Quelladressen sind 0.0.0.0/0. Optional könnte eine neue
Sicherheitsgruppe speziell für diese Instanz erstellt werden.
klicken Überprüfung und Markteinführung um den
Brocade vRouter zu starten und zu installieren.
Überprüfen Sie die Auswahlen und Einträge, insbesondere das Subnetz und die IP-Adressen. Wenn die
Kosten ein Problem darstellen, stellen Sie sicher, dass die Instance innerhalb der Grenzen der
kostenlosen Testversion geblieben ist. klicken Starten um die Instanz zu starten und den Brocade vRouter zu
registrieren.
Wählen Sie im Schlüsselpaar-Dialogfeld Neues Schlüsselpaar erstellen
geben Sie im Drop-down-Menü einen benutzerfreundlichen Namen ein und klicken Sie auf
Key Pair herunterladen Schaltfläche zum Herunterladen des Schlüsselpaars. Stellen Sie sicher, dass Sie
sich den Download-Speicherort notieren.
klicken Instances starten um den
Installationsvorgang abzuschließen.
klicken Instanzen anzeigen am unteren Rand der
Status der Markteinführung Bildschirm oder Auswahl
Instanzen aus dem Navigationsbereich.
Je nach Auswahl kann es einige Minuten dauern, bis die Instanz vollständig
online ist.
Nachdem die Instance vollständig gestartet wurde und
Statusprüfungen sind abgeschlossen, klicken Sie auf Beschreibung
Tab unten auf der Seite. In der Netzwerkschnittstellen
Abschnitt, klicken eth0. Stellen Sie sicher, dass die IP-Adresse
10.4.0.187 (oder die zuvor konfigurierte IP-Adresse).
Klicken Sie auf den Link zum Schnittstellen-ID. In diesem
Beispiel lautet die ID eni-f554a48d.
Wenn die private Schnittstelle des Brocade vRouters ausgewählt ist, klicken Sie auf
Aktionen Drop-down-Menü und wählen
Quelle/Ziel ändern. Prüfen.
Wählen Sie den Deaktiviert Optionsfeld und dann klicken
Speichern.
Erstellen Sie die private Subnetzschnittstelle für den Brocade vRouter, indem Sie auf
Netzwerkschnittstelle erstellen.
In der Netzwerkschnittstelle erstellen Füllen Sie im Dialogfeld die
folgenden Felder aus:
Beschreibung
Geben Sie einen Namen ein, um die private Schnittstelle zu identifizieren.
Subnetz
Wählen Sie aus der Drop-down-Liste das Subnetz für
10.4.1.0/24.
Private IP
Typ 10.4.1.10.
Sicherheitsgruppen
Wählen Sie die Standard-VPS-Sicherheitsgruppe aus.
klicken Ja, Create um die neue Schnittstelle zu erstellen.
Wählen Sie die private Schnittstelle aus und klicken Sie dann auf
Aktionen Drop-down-Menü und wählen
Quelle/Ziel ändern. Prüfen.
Wählen Sie den Deaktiviert Optionsfeld und dann klicken
Speichern.
Nehmen Sie die auf oder notieren Sie sich 10.4.1.10
Netzwerkschnittstellen-ID.
Wenn die private Schnittstelle noch ausgewählt ist, klicken Sie auf
Anhängen.
Wählen Sie Ihre Instance aus der Dropdownliste Instance-ID aus und klicken Sie dann auf
Anhängen.
Kehren Sie zum VPC-Dashboard zurück.
Wählen Sie im Navigationsbereich Routentabellen.
Wählen Sie die Routing-Tabelle aus, die dem privaten Subnetz zugeordnet ist
10.4.1.0/24.
Klicken Sie auf Strecken Tabulatortaste und dann klicken
Bearbeiten.
klicken Eine weitere Route hinzufügen. In der
Destination Feld, Typ 0.0.0.0/0 und geben Sie
im Zielfeld die in Schritt 23 angegebene Schnittstellen-ID ein, und klicken Sie dann auf
Speichern. Diese Routentabelle sollte mit der
privaten Schnittstellen-ID des Brocade vRouters und dem privaten Subnetz verknüpft werden.
10.4.1.0/24.
Weisen Sie eine Amazon Elastic IP zu, eine dynamisch zugewiesene, öffentlich geroutete IP, indem Sie
Elastische IPs aus dem Navigationsbereich. klicken
Neue Adresse zuweisen, und klicken Sie dann Ja,
zuordnen.
Wählen Sie im Drop-down-Menü Aktionen die Option Partneradresse aus und legen Sie die folgenden
Felder fest:
Assoziieren mit
Netzwerk-Schnittstelle
Netzwerk-Schnittstelle
Wählen Sie die öffentliche Schnittstellen-ID des Brocade vRouters aus. In diesem
Beispiel lautet die ID eni-f554a48d.
Private IP-Adresse
Wählen Sie die dem öffentlichen Subnetz zugewiesene IP-Adresse aus. In diesem Beispiel ist es
10.4.0.187.
klicken Ja, Mitarbeiter.
Stellen Sie über SSH eine Verbindung zu Ihrer Brocade vRouter-Instanz her
Hinweis:
Die folgenden Verfahren wurden in einer macOS-Terminalanwendung durchgeführt. Ihre
Befehle können je nach Ihrer Wahl variieren Client.
Öffnen Sie einen Terminal-Client und führen Sie die folgenden Befehle aus:
Wechseln Sie in das Verzeichnis, in das Sie Ihre private Schlüsseldatei heruntergeladen haben. Zum
Beispiel:
remote$ cd ~/Downloads
Ändern Sie die Berechtigungen der Schlüsseldatei so, dass sie nicht öffentlich
sichtbar ist:
Wenn die SSH-Verbindung erfolgreich ist, wird eine Ausgabe ähnlich der folgenden
angezeigt:
Welcome to Brocade vRouter
Welcome to Brocade Vyatta Network OS
Version: 4.1R2B
Description: Brocade Vyatta Network OS 4.1 R2
Built on: Fri Dec 18 07:10:38 UTC 2015
Hinweis:
Wenn die Verbindung fehlschlägt, fügen Sie hinzu -vvv zu der
ssh Befehl zum Sammeln von Debug-Ausgaben, zum Überprüfen
der Sicherheitsgruppenregeln, um sicherzustellen, dass SSH zulässig ist, um zu überprüfen, ob die
Elastic IP mit der öffentlichen Schnittstelle verknüpft ist, und
um zu überprüfen, ob Ping an die öffentliche Elastic IP eine Antwort zurückgibt.
Zeigen Sie eine Liste der konfigurierten Schnittstellen an, indem Sie den folgenden Befehl ausführen:
show interfaces
Es erscheint eine Ausgabe, die der folgenden ähnelt:
Codes: S - State, L - Link, u - Up, D - Down, A – Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 -A/D
Hinweis:
Wenn nur eine Schnittstelle angezeigt wird, starten Sie den Brocade vRouter neu, indem Sie
Neustart Befehl.
Zwei Schnittstellen sollten sichtbar sein. Eine Schnittstelle ist nicht konfiguriert und eine
IP-Adresse wird nicht angezeigt. Um die Schnittstelle zu konfigurieren, führen Sie die folgenden
Befehle aus:
Rufen Sie den Konfigurationsmodus auf:
configure
Konfigurieren Sie die private Schnittstelle mit der zuvor zugewiesenen privaten IP.
In diesem Beispiel 10.4.1.0.24 wurde in der
Instanz in AWS auf der privaten Schnittstelle zugewiesen.
set interfaces dataplane dp0s1 address 10.4.1.10/24
Legen Sie die Anzahl der unentgeltlichen ARP-Anfragen
(Address Resolution Protocol) fest, die gesendet werden sollen:
set interfaces dataplane dp0s1 ip gratuitous-arp-count 1
Aktivieren Sie den Reverse-Path-Filter ohne Quellenvalidierung:
set interfaces dataplane dp0s1 ip rpf-check disable
Stellen Sie die Anzahl der zu übertragenden NS-Pakete ein:
set interfaces dataplane dp0s1 ipv6 dup-addr-detect-transmits 1
Legt die Größe der MTU für die Datenebenenschnittstelle fest:
set interfaces dataplane dp0s1 mtu 1500
Stellen Sie den EtherType für VLAN-Frames ein:
set interfaces dataplane dp0s1 vlan-protocol 0x8100
Führen Sie den Befehl show interfaces aus, um die konfigurierten Schnittstellen anzuzeigen. Es erscheint eine Ausgabe, die der folgenden
ähnelt:
Das Pluszeichen (+) weist auf nicht gespeicherte Änderungen hin.
Typ verpflichten und drücken Sie dann die EINGABETASTE.
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Optional: Stellen Sie den SSH-Dienstport auf 22 ein, um sicherzustellen, dass die Ports auf dem
Brocade vRouter in der Konfigurationsdatei ordnungsgemäß zugewiesen sind:
set service ssh port 22
Typ verpflichten und drücken Sie dann die EINGABETASTE.
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Typ aussteigen um den Konfigurationsmodus zu verlassen.
Führen Sie das aus Schnittstellen einblenden Befehl. Beide Schnittstellen sollten
aktiv und administrativ aktiv sein, ähnlich der folgenden Ausgabe:
Codes: S - State, L - Link, u - Up, D - Down, A – Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 u/u
Hinweis:
Lassen Sie die vRouter-Shell geöffnet, um später in diesem
Verfahren weitere Befehle auszuführen.
Zusammenfassung
In diesem Abschnitt haben Sie den Brocade vRouter so konfiguriert, dass er von
einem Remote-Computer aus zugänglich und konfiguriert werden kann. Sie haben auch die entsprechenden Schnittstellen für die Erstellung zusätzlicher
Subnetze hinzugefügt.
(Optional) Linux-Client für die Generierung von Datenverkehr konfigurieren
In diesem und im nächsten Abschnitt konfigurieren Sie ein neues Linux-AMI, um die Brocade vRouter- und ExtraHop Discover-Konfiguration zu überprüfen
. Wenn andere Verkehrsquellen
verfügbar sind, können diese Abschnitte übersprungen werden.
Hinweis:
Im folgenden Beispiel wird ein Linux-Client ausgewählt.
Klicken Sie in der oberen linken Ecke auf das Symbol Console Home, um zur Seite der
AWS-Managementkonsole zurückzukehren.
Klicken Sie im Abschnitt Berechnen auf EC2.
Klicken Sie im Navigationsbereich auf Instanzen.
klicken Instanz starten um den Amazon Machine Image
(AMI) -Assistenten zu starten.
Suchen Sie ein Ubuntu Server-Image in der Liste und klicken Sie dann auf
Wählen.
Wählen Sie den T2. Mikro Instanztyp und dann klicken
Weiter: Instanzdetails konfigurieren.
Auf dem Instanzdetails konfigurieren Seite, führe die
folgenden Schritte aus:
Typ 1 in der Anzahl der
Instanzen Feld.
Aus dem Netzwerk Wählen Sie in der Dropdownliste die VPC aus, die
Sie im ersten Abschnitt dieses Handbuchs erstellt haben.
Wählen Sie in der Dropdownliste Subnetz den 10.4.1.0/24
Subnetz.
Eine statische IP ist für diesen Schritt nicht erforderlich. Notieren Sie sich jedoch die der Instanz zugewiesene
IP-Adresse. In diesem Beispiel ist die IP
10.4.1.50.
Die übrigen Einstellungen können auf ihren Standardwerten belassen werden.
klicken Weiter: Speicher hinzufügen. Es sind keine Änderungen erforderlich.
klicken Weiter: Tag-Instanz. Es sind keine Änderungen
erforderlich.
klicken Weiter: Sicherheitsgruppe konfigurieren.
Auf dem Sicherheitsgruppe konfigurieren Seite, führe die
folgenden Schritte aus:
Wählen Eine neue Sicherheitsgruppe erstellen.
In der Feld für den Namen der Sicherheitsgruppe, geben Sie einen
aussagekräftigen Namen ein. Zum Beispiel Ubuntu Linux.
In der Beschreibung Feld, geben Sie eine Beschreibung für
diese Sicherheitsgruppe ein.
klicken Regel hinzufügen.
Wählen Alles ICMP aus der Drop-down-Liste.
In der Quelle Spalte, wählen
Irgendwo aus der Drop-down-Liste und tippe
0.0.0.0/0 auf dem Feld.
Wenn SSH ist nicht aufgeführt, klicken Sie
Regel hinzufügen.
In der Quelle Spalte, wählen
Irgendwo aus der Drop-down-Liste und tippe
0.0.0.0/0 auf dem Feld.
klicken Überprüfung und Markteinführung.
Bestätigen Sie, dass Ihre Sicherheitsgruppe weltweit geöffnet ist, und
klicken Sie dann auf Starten.
Hinweis:
Dies ist eine Konfiguration, die nicht für die Produktion bestimmt ist. Normalerweise sollte der Verkehr nicht weltoffen konfiguriert
werden.
Wählen Sie im Schlüsselpaar-Dialogfeld Neues
Schlüsselpaar erstellen aus der Drop-down-Liste. Geben Sie einen Namen in das
Name des Schlüsselpaars Feld und Klick
Key Pair herunterladen. Notieren Sie sich den
Download-Speicherort und klicken Sie dann auf Instances starten um
den Installationsvorgang abzuschließen.
(Optional) Konfigurieren Sie NAT auf dem vRouter für den Linux-Client
Um den Linux-Client im internen privaten Subnetz sowohl eingehend als auch ausgehend
für die Generierung von Datenverkehr zu erreichen, muss NAT auf dem vRouter konfiguriert sein.
Kehren Sie zur zuvor geöffneten vRouter-Shell-Eingabeaufforderung zurück.
Öffnen Sie einen Port und maskieren Sie ausgehender Datenverkehr, indem Sie die folgenden Befehle ausführen.
Rufen Sie den Konfigurationsmodus auf:
configure
Stellen Sie den Zielport ein. Dies ist ein beliebiger Port und 445 ist in diesem Beispiel
angegeben.
set service nat destination rule 10 destination port 445
Stellen Sie die Eingangsschnittstelle ein:
set service nat destination rule 10 inbound-interface dp0s0
Stellen Sie das Protokoll ein:
set service nat destination rule 10 protocol tcp
Stellen Sie die Übersetzungsadresse ein, wobei
<client_instance_ip> ist die IP-Adresse des
Linux-Clients:
set service nat destination rule 10 translation address <client_ip_address>
Zum Beispiel:
set service nat destination rule 10 translation address 10.4.1.50
Stellen Sie den Übersetzungsport ein:
set service nat destination rule 10 translation port 22
Typ verpflichten und drücken Sie dann die EINGABETASTE.
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Konfigurieren Sie den ausgehender Datenverkehr auf dem vRouter, um die internen
Adressen zu maskieren:
set service nat source rule 100 outbound-interface dp0s0
set service nat source rule 100 translation address masquerade
Typ verpflichten und drücken Sie dann ENTER
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Hinweis:
Die Regelnummern sind willkürlich. Lassen Sie jedoch genügend Abstand
zwischen den Bereichen, falls Sie in
Zukunft verwandte Regeln hinzufügen müssen.
Stellen Sie sicher, dass die Konfiguration mit den gerade erstellten Regeln aktualisiert wurde, indem Sie
den folgenden Befehl ausführen:
show service
Es erscheint eine Ausgabe, die der folgenden ähnelt. Notieren Sie sich den Zielport,
den Übersetzungsport und die Adresse der erstellten Linux-Instanz.
Stellen Sie außerdem sicher, dass es sich bei der Schnittstelle in beiden Regeln um die externe
Schnittstelle des vRouters handelt.
Klicken Sie in der AWS-Konsole bei ausgewählter Instanz auf
Verbinde um zu erfahren, wie Sie eine Verbindung zu Ihrer
speziellen Instanz herstellen können. Benutzernamen und Konnektivität sind für das
ausgewählte AMI einzigartig.
Nachdem Sie sich erfolgreich mit dem verbunden haben Client, pingen Sie die öffentlichen und privaten IP-Adressen, die Sie
zuvor konfiguriert haben, und stellen Sie sicher, dass Sie die angegebenen IP-Adressen erreichen können. Zum Beispiel:
Öffnen Sie ein neues Terminalfenster und stellen Sie mit dem
entsprechenden Benutzernamen und Schlüsselpaar eine Verbindung zum Brocade vRouter her.
Pingen Sie die IP-Adresse des Linux-Clients. Zum Beispiel:
ping 10.4.1.50
Zeigen Sie die Routenkarte an, indem Sie den folgenden Befehl ausführen:
show ip route
Es erscheint eine Ausgabe, die der folgenden ähnelt:
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS
inter area
> - selected route, * - FIB route, p - stale info
IP Route Table for VRF "default"
Gateway of last resort is 10.4.0.1 to network 0.0.0.0
K *> 0.0.0.0/0 via 10.4.0.1, dp0s0
C *> 10.4.0.0/24 is directly connected, dp0s0
C *> 10.4.1.0/24 is directly connected, dp0s1
C *> 127.0.0.0/8 is directly connected, lo
Zeigen Sie die ARP-Tabelle an, indem Sie den folgenden Befehl ausführen:
show arp
Es erscheint eine Ausgabe, die der folgenden ähnelt:
Zeigen Sie die Schnittstellen an, indem Sie den folgenden Befehl ausführen:
show interface
Es erscheint eine Ausgabe, die der folgenden ähnelt:
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 u/u
Zusammenfassung
In diesem Abschnitt haben Sie eine Linux-Instanz für die Generierung von
Testpaketverkehr installiert und konfiguriert.
Einen ExtraHop EDA 1000v konfigurieren
In diesem Abschnitt konfigurieren Sie einen neuen ExtraHop EDA 1000V-Sensor.
Klicken Sie in der oberen linken Ecke auf das Symbol Console Home, um zur Seite der
AWS-Managementkonsole zurückzukehren.
Klicken Sie im Abschnitt Berechnen auf EC2.
Klicken Sie im Navigationsbereich auf Instanzen.
klicken Instanz starten um den Amazon Machine Image
(AMI) -Assistenten zu starten.
klicken AMIs der Gemeinschaft.
Typ ExtraHop in der
Community-AMIs durchsuchen Feld und lokalisieren Sie das ExtraHop Discover appliance
1000v 5.x.x.x AMI und klicken Wählen.
Wählen Sie den t2. mittel geben Sie den Instanztyp ein und klicken Sie dann
Weiter: Instanzdetails konfigurieren.
In der Instanzdetails konfigurieren Seite, führe die
folgenden Schritte aus:
Typ 1 in der Anzahl der Instanzen
Feld.
In der Netzwerk Wählen Sie in der Dropdownliste die VPC aus, die im ersten Teil dieses Handbuchs
erstellt wurde.
In der Subnetz Drop-down-Liste, wählen Sie das private
Subnetz 10.4.1.0/24.
In der Netzwerkschnittstellen Art des Abschnitts
10.4.1.15 in der Primäre IP
Feld und dann klicken Weiter: Speicher hinzufügen.
Belassen Sie die Standardspeichergröße auf der Standardeinstellung. klicken Weiter:
Tag-Instanz.
Kennzeichnen Sie die Instanz mit einem Namen, um die Instanz zu identifizieren. Fügen Sie weitere Tags
zur Identifizierung dieser Instanz in der Umgebung hinzu und klicken Sie dann auf Weiter: Sicherheitsgruppe
konfigurieren.
Auf dem Sicherheitsgruppe konfigurieren Seite, führe die
folgenden Schritte aus:
Wählen Eine neue Sicherheitsgruppe erstellen.
In der Name der Sicherheitsgruppe Feld, geben Sie einen
beschreibenden Namen ein. Zum Beispiel EDA 1000v.
In der Beschreibung Feld, geben Sie eine Beschreibung für
diese Sicherheitsgruppe ein.
klicken Regel hinzufügen 6 mal und jeweils konfigurieren
Protokoll tippe wie folgt:
Typ
Protokoll
Portbereich
Quelle
SSH
TCP
22
Überall 0.0.0.0/0
HTTP
TCP
80
Überall 0.0.0.0/0
HTTPS
TCP
443
Überall 0.0.0.0/0
Benutzerdefinierte TCP-Regel
TCP
2003
Überall 0.0.0.0/0
Benutzerdefinierte UDP-Regel
UDP
2003
Überall 0.0.0.0/0
Gesamter Verkehr
ALLES
0-65535
Benutzerdefinierte IP 10.4.0.0/16
Alles ICMP
ICMP
0-65535
Überall 0.0.0.0/0
klicken Überprüfung und Markteinführung.
Hinweis:
Wenn ein Von General Purpose (SSD) booten Das Dialogfeld
wird angezeigt. Wählen Sie die erste Option aus und klicken Sie dann auf
Weiter.
Überprüfen Sie die Instanzauswahl und klicken Sie dann auf
Starten.
In der Wählen Sie eine vorhandene Schlüsselpaarseite aus Dialogfeld, wählen
Ohne Schlüsselpaar fortfahren aus der Drop-down-Liste.
Der Großteil der Konfiguration wird über die Administrationseinstellungen auf
dem Sensor abgeschlossen, sodass kein Schlüsselpaar erforderlich ist. Wählen Sie den Ich
erkenne Checkbox und dann klicken
Instances starten.
Gehen Sie zu Ihrer Instance-Liste in AWS. Vergewissern Sie sich, dass die Statusprüfungen bestanden wurden,
und notieren Sie sich die Instanz-IP.
Konfigurieren Sie NAT auf dem vRouter für den Zugriff auf das ExtraHop-System
Um auf das ExtraHop-System zugreifen zu können, muss NAT auf dem vRouter konfiguriert sein.
Kehren Sie zur zuvor geöffneten vRouter-Shell-Eingabeaufforderung zurück.
Öffnen Sie einen Port und maskieren Sie ausgehender Datenverkehr, indem Sie die folgenden Befehle ausführen.
Rufen Sie den Konfigurationsmodus auf:
configure
Stellen Sie den Zielport ein. Dies ist ein beliebiger Port und
8443 ist in diesem Beispiel angegeben.
set service nat destination rule 20 destination port 8443
Stellen Sie die Eingangsschnittstelle ein:
set service nat destination rule 20 inbound-interface dp0s0
Stellen Sie das Protokoll ein:
set service nat destination rule 20 protocol tcp
Stellen Sie die Übersetzungsadresse ein, wobei
<extrahop_instance_ip> ist die IP-Adresse des
Linux-Clients:
set service nat destination rule 20 translation address
<extrahop_ip_address>
Zum Beispiel:
set service nat destination rule 20 translation address 10.4.1.15
Stellen Sie den Übersetzungsport ein:
set service nat destination rule 20 translation port 443
Konfigurieren Sie den ausgehender Datenverkehr auf dem vRouter so, dass die internen Adressen maskiert werden
(falls dies nicht bereits geschehen ist):
set service nat source rule 100 outbound-interface dp0s0
set service nat source rule 100 translation address masquerade
Geben Sie commit ein und drücken Sie dann die EINGABETASTE.
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Hinweis:
Die Regelnummern sind willkürlich. Lassen Sie jedoch genügend Abstand
zwischen den Bereichen, falls Sie in
Zukunft verwandte Regeln hinzufügen müssen.
Stellen Sie sicher, dass die Konfiguration mit den gerade erstellten Regeln aktualisiert wurde, indem Sie
den folgenden Befehl ausführen:
show service
Kehren Sie zur AWS-Konsole zurück, um eine eingehende Regel für die
Standardsicherheitsgruppe zu erstellen, um die NAT-Regeln zu testen.
Klicken Sie im Navigationsbereich auf Instanzen.
Wählen Sie den vRouter in der Liste der Instanzen aus.
In der Beschreibung Tab-Bereich, neben
Sicherheitsgruppen, klicken
Standard.
Klicken Sie auf der Sicherheitsgruppenseite auf Eingehend
Tabulatur.
klicken Bearbeiten.
klicken Regel hinzufügen.
In der Typ Drop-down-Liste, wählen
Benutzerdefinierte TCP-Regel.
In der Portbereich Feld, Typ
8443.
In der Quelle Feld, Typ
0.0.0.0/0.
Geben Sie in Ihrem Browser die IP-Adresse des ExtraHop-Systems ein:
https://<elastic_public_ip:8443>/admin
Auf dem Lizenzierung Seite, lesen Sie die Allgemeinen
Geschäftsbedingungen von ExtraHop, wählen Ich stimme zu, und klicken Sie dann auf
Einreichen.
Geben Sie auf dem Anmeldebildschirm Folgendes ein Einrichten für den Benutzernamen und
die Instanz-ID für das Passwort. Sie finden die Instanz-ID auf der
Instanzen-Seite. Geben Sie die folgenden Zeichen ein i- (aber nicht
i- selbst), und klicken Sie dann
Einloggen.
Auf dem Sensorverwaltung Seite, in der
Geräteeinstellungen Abschnitt, klicken
Lizenz.
klicken Lizenz verwalten und dann klicken
Registriere dich.
Geben Sie den von ExtraHop erhaltenen Produktschlüssel in das Feld Product Key ein und klicken Sie dann
auf Registriere dich.
Hinweis:
Wenn die Lizenzregistrierung fehlschlägt, stellen Sie sicher, dass die AWS-Sicherheitsregeln
ausgehenden Datenverkehr zulassen HTTP und HTTPS-Verkehr.
klicken Erledigt.
Kehren Sie zurück zum Admin Seite.
In der Netzwerk-Einstellungen Abschnitt, klicken
Konnektivität.
Vergewissern Sie sich im Abschnitt Schnittstellen, dass Interface 1 auf eingestellt ist
Geschäftsleitung + RPCAP/ERSPAN/VXLAN/GENEVE Target.
(Optional) Erstellen Sie ein neues Volume für den Paketerfassungsspeicher
Erstellen Sie ein neues Volume für den EDA 1000v, um triggerfähige Paketerfassungsdaten zu speichern.
Klicken Sie im Navigationsbereich in AWS auf Bände.
klicken Volumen erstellen. In der
Dialogfeld „Volumen erstellen" Box, stellen Sie sicher, dass die
Verfügbarkeitszone ausgewählt ist dieselbe Zone wie die
Instanz entdecken und dann klicken Erstellen.
Wählen Sie das neue Volume in der Volumenliste aus und wählen Sie dann
Volumen anhängen von der Aktionen Drop-down-Menü.
In der Instanz Feld, wählen Sie Ihre Discover-Instanz aus und klicken Sie
dann auf Anhängen.
Klicken Sie im Navigationsbereich auf Instanzen.
Wählen Sie die Discover-Instanz in der Liste aus und klicken Sie dann auf Aktionen > Instanzstatus > Neustarten.
Wenn die Discover-Instanz wieder in den laufenden Zustand zurückkehrt, melden Sie sich bei den
Administrationseinstellungen auf dem ExtraHop-System an über
https://<extrahop-hostname-or-IP-address>/admin.
In der Einstellungen der Appliance Abschnitt, klicken Festplatten und stellen Sie sicher, dass die neue Paketerfassungsdiskette in der Liste der direkt verbundenen Festplatten
angezeigt wird.
klicken Aktivieren auf der Packet Capture-Diskette, um sie zu aktivieren.
Zusammenfassung
In diesem Abschnitt haben Sie das ExtraHop-System für den Empfang von Netzwerkpaketen und
Datenverkehr von der ERSPAN Schnittstelle. Optional
wurde eine zusätzliche Festplatte konfiguriert, um triggerfähige Paketerfassungen zu ermöglichen.
Konfiguration von ERSPAN und Portmonitoring auf dem Brocade vRouter
In diesem Abschnitt konfigurieren Sie die ERSPAN und
Portüberwachungsfunktionen auf dem Brocade vRouter, um ERSPAN-Verkehr an den ExtraHop-Sensor zu senden.
Konfigurieren Sie die ERSPAN-Schnittstelle, indem Sie die folgenden Befehle ausführen:
Rufen Sie den Konfigurationsmodus auf:
configure
Stellen Sie die lokale IP-Adresse für die ERSPAN-Schnittstelle ein:
set interfaces erspan erspan1 local-ip 10.4.1.10
Stellen Sie die Remote-IP-Adresse für die ERSPAN-Schnittstelle ein:
set interfaces erspan erspan1 remote-ip 10.4.1.15
Stellen Sie die folgende zusätzliche Konfiguration ein:
set interfaces erspan erspan1 ip tos inherit
set interfaces erspan erspan1 ip ttl 255
set interfaces erspan erspan1 mtu 1500
Zeigen Sie die Konfigurationsänderungen an:
show interfaces
Geben Sie commit ein und drücken Sie dann die EINGABETASTE.
Geben Sie Speichern ein und drücken Sie dann die EINGABETASTE, um die Änderungen zu speichern.
Konfigurieren Sie den Port Monitor und die ERSPAN-Quelle, indem Sie die folgenden
Befehle ausführen:
Hinweis:
In diesem Beispiel ist die Quelle des Monitors die interne Schnittstelle
des Brocade vRouters. Darüber hinaus sind die Sitzungs- und Identifikationsnummern
willkürlich, sollten sich jedoch nicht mit anderen Sitzungs-IDs überschneiden.
Stellen Sie den Portmonitor-Sitzungstyp ein:
set service portmonitor session 25 type erspan-source
Stellen Sie die Quellschnittstelle für die Portüberwachung ein:
set service portmonitor session 25 source dp0s1
Stellen Sie die Zielschnittstelle für die Portüberwachung ein:
set service portmonitor session 25 destination erspan1
Legen Sie die Sitzungs-ID fest:
set service portmonitor session 25 erspan identifier 200
Stellen Sie den ERSPAN-Header-Typ ein:
set service portmonitor session 25 erspan header type-II
Stellen Sie die ERSPAN-Richtung ein:
set service portmonitor session 25 source dp0s1 direction both
Typ verpflichten und drücken Sie dann die EINGABETASTE.
Typ sparen und drücken Sie dann die EINGABETASTE, um die
Änderungen zu speichern.
Die Portüberwachung für die Sitzung wird sofort aktiviert, wenn die Parameter Typ,
Quelle, Ziel, ERSPAN-ID und ERSPAN-Headertyp korrekt konfiguriert
sind.
Typ aussteigen um den Konfigurationsmodus zu verlassen.
Typ Konfiguration einblenden um die neue
Konfiguration anzuzeigen.
Es wird eine Ausgabe ähnlich der folgenden angezeigt (aus Gründen der
Übersichtlichkeit gekürzt):
erspan erspan1 {
ip {
tos inherit
ttl 255
}
local-ip 10.4.1.10
mtu 1500
remote-ip 10.4.1.15
}
.
.
portmonitor {
session 25 {
destination erspan1
erspan {
header type-II
identifier 200
}
source dp0s1 {
direction both
}
type erspan-source
}
}
Loggen Sie sich in das ExtraHop-System ein über
https://<elastic_public_ip:8443>/extrahop und stellen Sie sicher
, dass der ExtraHop ERSPAN-Verkehr vom vRouter empfängt von Armaturenbretter Schnittstelle.
Zusammenfassung
In diesem Abschnitt haben Sie den Brocade vRouter zum Senden konfiguriert ERSPAN Datenverkehr zum ExtraHop-System, das die Analyse des Datenverkehrs innerhalb der virtuellen privaten Cloud von
Amazon Web Services ermöglicht, ohne dass eine Installation erforderlich ist RPCAPD Kunden.
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?