Déployez ERSPAN avec une sonde ExtraHop et un routeur virtuel Brocade 5600 dans AWS
Ce guide explique comment installer et configurer un exemple d'environnement au sein d'Amazon
Web Services (AWS) grâce aux fonctionnalités ERSPAN intégrées à l'ExtraHop sonde et le vRouter Brocade
5600.
L'analyseur de port commuté à distance encapsulé (ERSPAN) vous permet de surveiller le trafic sur plusieurs interfaces
réseau ou VLAN et d'envoyer le trafic surveillé vers une ou plusieurs destinations, y compris ExtraHop
capteurs. Configuration d'ERSPAN sur le routeur Brocade 5600 avec l'ExtraHop sonde permet une analyse, une surveillance et une visibilité
supplémentaires du trafic critiques sur AWS et d'autres plateformes
cloud.
Références supplémentaires
Le document suppose un certain niveau de familiarité avec le réseautage. Pour suivre les
étapes décrites dans ce guide, vous devez disposer d'un compte AWS. Si vous utilisez ExtraHop, Brocade ou Amazon Web
Services pour la première fois, consultez les liens suivants pour obtenir des informations supplémentaires :
Configuration d'un réseau de cloud privé virtuel AWS
Dans cette section, vous allez configurer un nouveau cloud privé virtuel (VPC), une
passerelle Internet, des sous-réseaux et des services de routage.
Création d'un VPC
Connectez-vous à la console AWS.
Dans le Réseautage section, cliquez
VPC.
Dans le Cloud privé virtuel section, cliquez
Vos VPC puis cliquez sur Création d'un
VPC.
Dans le Étiquette nominative dans ce champ, saisissez un nom pour le VPC.
Dans le Bloc CIDR champ, saisissez un bloc d'adresses IP pour
le réseau, tel que 10.4.0.0/16.
Dans le Location champ, laissez l'option définie sur
Par défaut.
Cliquez Oui, créer.
Remarque :
Notez l'ID du VPC (vpc-nnnnnnnn), qui est nécessaire pour la procédure suivante.
Création d'une passerelle Internet
Dans le volet de navigation, cliquez sur Passerelles Internet,
puis cliquez sur Création d'une passerelle Internet.
Dans le Étiquette nominative dans ce champ, saisissez un nom pour identifier la passerelle
Internet.
Ce paramètre autorise le trafic public entrant et sortant de votre
cloud privé virtuel.
Cliquez Oui, créer.
Prenez note de l'ID de passerelle (igw-nnnnnnnn).
Cliquez Joindre au VPC.
Dans la liste déroulante, sélectionnez le VPC que vous avez créé, puis cliquez sur
Oui, joindre.
Définissez des itinéraires
Avant que le trafic soit autorisé à entrer ou à sortir du nouveau VPC, les règles de routage et de sécurité du trafic
doivent être configurées. Par défaut, tout le trafic sortant est autorisé, mais le trafic entrant est plus
restrictif.
Dans le volet de navigation, cliquez sur Tables de routage.
Dans le tableau, cochez la case à côté de l'itinéraire associé
au VPC que vous avez créé.
Cliquez sur Itinéraires onglet, puis cliquez sur
Modifier.
Cliquez Ajouter un autre itinéraire.
Dans le champ Destination, tapez 0.0.0.0/0.
Dans le Cible dans ce champ, saisissez le nom que vous avez saisi pour la passerelle
Internet.
Cliquez Enregistrer.
Création d'un sous-réseau
Cet exemple de réseau possède un sous-réseau public et privé dans le bloc CIDR que vous avez
configuré précédemment. Vous allez configurer 10.4.0.0/24 en tant que sous-réseau public et 10.4.1.0/24 en tant que sous-réseau privé.
Dans le volet de navigation, cliquez sur Sous-réseaux, puis cliquez sur
Créer un sous-réseau.
Dans le Étiquette nominative dans ce champ, saisissez le nom du sous-réseau.
À partir du VPC liste déroulante, sélectionnez le VPC créé
précédemment.
Facultatif : À partir du Zone de disponibilité dans la liste déroulante, sélectionnez la zone de disponibilité
Amazon dans laquelle résidera le sous-réseau.
Dans le Bloc CIDR champ, saisissez le bloc CIDR public de
10.4.0.0/24.
Cliquez Oui, créer.
Répétez les étapes 1 à 6 pour créer un sous-réseau privé avec
10.4.1.0/24 Bloc CIDR.
Associer la table de routage au sous-réseau
Dans le volet de navigation, cliquez sur Tables de routage.
Vérifiez que la table de routage sélectionnée est la table contenant la passerelle Internet que vous avez
créée précédemment.
Cliquez sur Associations de sous-réseaux onglet.
Cliquez Modifier et sélectionnez le sous-réseau public de
10.4.0.0/24, puis cliquez sur
Enregistrer.
Cliquez Créer une table de routage pour créer une nouvelle table de routage pour
le sous-réseau privé 10.4.1.0/24.
Dans le Étiquette nominative champ, tapez un nom pour la table de routage et
sélectionnez le VPC que vous avez créé précédemment, puis cliquez sur Oui,
créer.
Sélectionnez la table de routage créée pour le sous-réseau privé
10.4.1.0/24.
Sélectionnez le Associations de sous-réseaux onglet.
Cliquez Modifier et sélectionnez le sous-réseau privé
10.4.1.0/24 puis cliquez sur Enregistrer.
Prenez note de cette table de routage. Dans une étape suivante, une association est établie avec une route avec
l'interface privée du Brocade vRouter.
Ajouter des règles de trafic entrant au groupe de sécurité
Dans le volet de navigation, sélectionnez votre nouveau VPC dans Filtrer par
VPC liste déroulante.
Dans le volet de navigation, cliquez sur Groupes de sécurité.
Le groupe de sécurité dispose de règles autorisant le trafic à entrer dans le VPC. La configuration initiale
autorise tout le trafic provenant d'elle-même, tout ICMP (vous pouvez donc
tester le ping de l'interface) et SSH sur le port 22.
Sélectionnez le groupe de sécurité par défaut pour votre nouveau VPC.
Cliquez sur le Règles relatives au trafic entrant onglet puis cliquez sur
Modifier.
Cliquez Ajouter une autre règle.
Sélectionnez Tous les ICMP dans la liste déroulante et tapez
0.0.0,0/0 dans le La source
champ.
Cliquez Ajouter une autre règle.
Sélectionnez SSH (22) dans la liste déroulante et tapez
0.0.0.0/0 dans le La source champ.
Cliquez Enregistrer.
Remarque :
Il s'agit d'une configuration hors production ; vous n'autorisez généralement pas toutes les adresses
IP à accéder à votre instance.
Résumé
Dans cette section, vous avez créé un cloud public virtuel, un sous-réseau privé pour le réseau 10.4.1.0/24 et un sous-réseau public pour le
réseau 10.4.0.0/24. En outre, vous avez créé des tables de routage
pour acheminer le trafic au sein des sous-réseaux VPC et en externe via une passerelle Internet.
Les groupes de sécurité autorisent le trafic entrant ou sortant du VPC et vous avez configuré des règles entrantes pour autoriser ICMP et du trafic SSH.
Configuration du routeur Brocade 5600v
Dans cette section, vous allez configurer un nouveau routeur Brocade 5600v dans le sous-réseau public
créé précédemment et attribuer une adresse IP élastique pour configurer et tester la configuration via SSH.
Cliquez sur l'icône d'accueil de la console dans le coin supérieur gauche pour revenir à la page AWS
Management Console.
Dans la section Calculer, cliquez sur EC2.
Dans le volet de navigation, cliquez sur Instances.
Cliquez Lancer une instance pour démarrer l'assistant Amazon Machine Image
(AMI).
Cliquez AWS Marketplace et tapez
5600 ou Routeur virtuel Brocade dans le
Rechercher des produits AWS Marketplace champ, puis appuyez sur
ENTER.
Cliquez sur le Sélectionnez bouton à côté de Routeur virtuel/pare-feu/VPN Brocade 5600
.
Pour cet exemple, sélectionnez m4.large type d'instance
, puis cliquez sur Suivant : Configurer les détails de l'instance.
Sur le Configurer les détails de l'instance page, effectuez les étapes
suivantes :
Type 1 dans le Nombre d'
instances champ.
À partir du Réseau dans la liste déroulante, sélectionnez le VPC
que vous avez créé dans la première section de ce guide.
Dans la liste déroulante Sous-réseau, sélectionnez le sous-réseau public,
10.4.0.0/24.
Dans le Interfaces réseau section en bas
de page, tapez 10,4,0,187 dans le
IP principale champ.
Cliquez Suivant : Ajouter de l'espace de stockage. Conservez les
paramètres de stockage par défaut, puis cliquez sur Suivant : Tag Instance.
Tapez n'importe quel nom dans Valeur champ pour
Nom clé pour identifier l'instance. Ajoutez des
balises supplémentaires pour identifier cette instance dans l'environnement, puis cliquez sur
Suivant : Configuration du groupe de sécurité.
Choisissez Sélectionnez un groupe de sécurité existant puis sélectionnez l'ID
de groupe de sécurité par défaut pour votre VPC.
Assurez-vous que les règles créées précédemment ont été appliquées. Par exemple, SSH et ICMP
sont toujours listés et leurs adresses sources sont 0.0.0.0/0. Facultativement, un nouveau groupe de
sécurité peut être créé spécifiquement pour cette instance.
Cliquez Révision et lancement pour lancer et installer le
Brocade vRouter.
Vérifiez les sélections et les entrées, en particulier les adresses de sous-réseau et IP. Si
les coûts sont un problème, assurez-vous que l'instance est restée dans les limites de l'essai
gratuit. Cliquez Lancement pour lancer l'instance et
enregistrer le Brocade vRouter.
Dans la boîte de dialogue de la paire de clés, sélectionnez Création d'une nouvelle paire de clés
dans le menu déroulant, saisissez un nom convivial et cliquez sur Télécharger
Key Pair bouton pour télécharger la paire de clés. Assurez-vous de prendre note
de l'emplacement du téléchargement.
Cliquez Instances de lancement pour terminer le
processus d'installation.
Cliquez Afficher les instances au bas du
État du lancement écran ou sélectionnez
Instances depuis le volet de navigation.
Selon les sélections, l'instance peut prendre plusieurs minutes pour être entièrement
en ligne.
Une fois l'instance complètement lancée et le
Contrôles de statut sont complets, cliquez sur Descriptif
onglet en bas de page. Dans le Interfaces réseau
section, cliquez eth0. Vérifiez que l'adresse IP est
10.4.0.187 (ou l'adresse IP configurée précédemment).
Cliquez sur le lien associé au Identifiant de l'interface. Dans cet
exemple, l'ID est eni-f554a48d.
Lorsque l'interface privée du Brocade vRouter est sélectionnée, cliquez sur
Actions menu déroulant et sélectionnez Modifier
Source/Dest. Vérifiez.
Sélectionnez le Désactivé bouton radio puis cliquez
Enregistrer.
Créez l'interface de sous-réseau privé pour le Brocade vRouter en cliquant sur
Création d'une interface réseau.
Dans le Création d'une interface réseau dans une boîte de dialogue,
renseignez les champs suivants :
Descriptif
Entrez un nom pour identifier l'interface privée.
Sous-réseau
Dans la liste déroulante, sélectionnez le sous-réseau pour
10.4.1.0/24.
IP privée
Type 10.4.1.10.
Groupes de sécurité
Sélectionnez le groupe de sécurité VPS par défaut.
Cliquez Oui, créer pour créer la nouvelle interface.
Sélectionnez l'interface privée, puis cliquez sur
Actions menu déroulant et sélectionnez Modifier
Source/Dest. Vérifiez.
Sélectionnez le Désactivé bouton radio puis cliquez
Enregistrer.
Enregistrez ou prenez note du 10.4.1.10
ID d'interface réseau.
L'interface privée étant toujours sélectionnée, cliquez sur
Joindre.
Sélectionnez votre instance dans la liste déroulante Instance ID, puis cliquez sur
Joindre.
Retournez au tableau de bord du VPC.
Dans le volet de navigation, sélectionnez Tables de routage.
Sélectionnez la table de routage associée au sous-réseau privé
10.4.1.0/24.
Cliquez sur le Itinéraires onglet puis cliquez sur
Modifier.
Cliquez Ajouter un autre itinéraire. Dans le
Destination champ, type 0.0.0.0/0 et
dans le champ cible, saisissez l'ID d'interface indiqué à l'étape 23, puis cliquez sur
Enregistrer. Cette table de routage doit être associée à l'ID
d'interface privée du Brocade vRouter et associée au sous-réseau privé
10.4.1.0/24.
Allouez une adresse IP Amazon Elastic, une adresse IP routée publiquement allouée dynamiquement, en sélectionnant
IP élastiques depuis le volet de navigation. Cliquez
Allouer une nouvelle adresse, puis cliquez sur Oui,
allouez.
Dans le menu déroulant Actions, sélectionnez Adresse associée et définissez les
champs suivants :
Associez-vous à
Interface réseau
Interface réseau
Sélectionnez l'ID d'interface publique du Brocade vRouter. Dans cet
exemple, l'ID est eni-f554a48d.
adresse IP privée
Sélectionnez l'adresse IP attribuée au sous-réseau public. Dans cet exemple, il s'agit
10.4.0.187.
Cliquez Oui, associé.
Connectez-vous à votre instance Brocade vRouter via SSH
Remarque :
Les procédures suivantes ont été effectuées dans une application de terminal macOS. Vos
commandes peuvent varier en fonction de votre choix de client.
Ouvrez un terminal client et exécutez les commandes suivantes :
Accédez au répertoire dans lequel vous avez téléchargé votre fichier de clé privée. Par
exemple :
remote$ cd ~/Downloads
Modifiez les autorisations du fichier clé afin qu'il ne soit pas accessible au public
:
Si la connexion SSH est réussie, une sortie similaire à la suivante apparaît :
Welcome to Brocade vRouter
Welcome to Brocade Vyatta Network OS
Version: 4.1R2B
Description: Brocade Vyatta Network OS 4.1 R2
Built on: Fri Dec 18 07:10:38 UTC 2015
Remarque :
Si la connexion échoue, ajoutez -vvv au
ssh commande pour collecter les résultats de débogage, vérifier
les règles du groupe de sécurité pour s'assurer que le SSH est autorisé, vérifier que
l'adresse IP élastique est associée à l'interface publique et vérifier que le
ping envoyé à l'adresse IP élastique publique renvoie une réponse.
Affichez la liste des interfaces configurées en exécutant la commande suivante :
show interfaces
Un résultat similaire à ce qui suit apparaît :
Codes: S - State, L - Link, u - Up, D - Down, A – Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 -A/D
Remarque :
Si une seule interface apparaît, redémarrez le Brocade vRouter en exécutant le
redémarrer commande.
Deux interfaces doivent être visibles. Aucune interface n'est configurée et aucune
adresse IP n'apparaît. Pour configurer l'interface, exécutez les
commandes suivantes :
Entrez en mode de configuration :
configure
Configurez l'interface privée avec l'adresse IP privée précédemment attribuée.
Dans cet exemple, 10.4.1.0.24 a été attribué dans l'
instance dans AWS sur l'interface privée.
set interfaces dataplane dp0s1 address 10.4.1.10/24
Définissez le nombre de demandes
ARP (Address Resolution Protocol) gratuites à envoyer :
set interfaces dataplane dp0s1 ip gratuitous-arp-count 1
Activez le filtre à chemin inversé sans validation de la source :
set interfaces dataplane dp0s1 ip rpf-check disable
Définissez le nombre de paquets NS à transmettre :
set interfaces dataplane dp0s1 ipv6 dup-addr-detect-transmits 1
Définit la taille de la MTU pour l'interface du plan de données :
set interfaces dataplane dp0s1 mtu 1500
Définissez l'EtherType pour les trames VLAN :
set interfaces dataplane dp0s1 vlan-protocol 0x8100
Exécutez la commande show interfaces pour afficher les interfaces configurées. Un résultat
similaire à ce qui suit s'affiche :
Le signe plus (+) indique les modifications non enregistrées.
Type commettre puis appuyez sur ENTER.
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
Facultatif : Définissez le port du service SSH sur 22 pour vous assurer que les ports sont correctement assignés sur le routeur
Brocade dans le fichier de configuration :
set service ssh port 22
Type commettre puis appuyez sur ENTER.
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
Type sortir pour quitter le mode de configuration.
Exécutez le afficher les interfaces commande. Les deux interfaces doivent être
opérationnelles et administrativement, comme dans le résultat suivant :
Codes: S - State, L - Link, u - Up, D - Down, A – Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 u/u
Remarque :
Laissez le shell vRouter ouvert pour exécuter des commandes supplémentaires ultérieurement dans cette
procédure.
Résumé
Dans cette section, vous avez configuré le Brocade vRouter pour qu'il soit accessible et configurable depuis
une machine distante. Vous avez également ajouté les interfaces appropriées pour la création de
sous-réseaux supplémentaires.
(Facultatif) Configurer le client Linux pour la génération de trafic
Dans cette section et la suivante, vous allez configurer une nouvelle AMI Linux afin de vérifier
la configuration de Brocade vRouter et d'ExtraHop Discover. Si d'autres sources de trafic sont
disponibles, ces sections peuvent être ignorées.
Remarque :
Un client Linux est sélectionné dans l'exemple suivant.
Cliquez sur l'icône d'accueil de la console dans le coin supérieur gauche pour revenir à la page AWS
Management Console.
Dans la section Calculer, cliquez sur EC2.
Dans le volet de navigation, cliquez sur Instances.
Cliquez Lancer une instance pour démarrer l'assistant Amazon Machine Image
(AMI).
Localisez une image du serveur Ubuntu dans la liste, puis cliquez sur
Sélectionnez.
Sélectionnez le t2.micro type d'instance, puis cliquez sur
Suivant : Configurer les détails de l'instance.
Sur le Configurer les détails de l'instance page, effectuez les étapes
suivantes :
Type 1 dans le Nombre d'
instances champ.
À partir du Réseau dans la liste déroulante, sélectionnez le VPC
que vous avez créé dans la première section de ce guide.
Dans la liste déroulante Sous-réseau, sélectionnez 10.4.1.0/24
sous-réseau.
Une adresse IP statique n'est pas nécessaire pour cette étape, mais notez l'
adresse IP attribuée à l'instance. Dans cet exemple, l'adresse IP est
10.4.1.50.
Les autres paramètres peuvent être conservés à leurs valeurs par défaut.
Cliquez Suivant : Ajouter de l'espace de stockage. Aucune modification n'est nécessaire.
Cliquez Suivant : Tag Instance. Aucune modification n'
est nécessaire.
Cliquez Suivant : Configuration du groupe de sécurité.
Sur le Configurer le groupe de sécurité page, effectuez les étapes
suivantes :
Sélectionnez Création d'un nouveau groupe de sécurité.
Dans le champ de nom du groupe de sécurité, saisissez un nom
descriptif. Par exemple, Ubuntu Linux.
Dans le Descriptif dans ce champ, saisissez une description pour
ce groupe de sécurité.
Cliquez Ajouter une règle.
Sélectionnez Tous les ICMP depuis la liste déroulante.
Dans le La source colonne, sélectionnez
N'importe où dans la liste déroulante et tapez
0.0.0,0/0 dans le champ.
Si SSH n'est pas répertorié, cliquez Ajouter une
règle.
Dans le La source colonne, sélectionnez
N'importe où dans la liste déroulante et tapez
0.0.0.0/0 dans le champ.
Cliquez Révision et lancement.
Reconnaissez que votre groupe de sécurité est ouvert sur le monde, puis
cliquez sur Lancement.
Remarque :
Il s'agit d'une configuration hors production. En règle générale, le trafic ne doit pas
être configuré pour être ouvert sur le monde entier.
Dans la boîte de dialogue de la paire de clés, sélectionnez Création d'une nouvelle
paire de clés depuis la liste déroulante. Tapez un nom dans
Nom de la paire de clés champ et cliquez
Télécharger Key Pair. Notez l'
emplacement du téléchargement, puis cliquez sur Instances de lancement pour terminer
le processus d'installation.
(Facultatif) Configurer le NAT sur le vRouter pour le client Linux
Pour atteindre le client Linux sur le sous-réseau privé interne, à la fois entrant et sortant
pour générer du trafic, le NAT doit être configuré sur le vRouter.
Revenez à l'invite du shell vRouter précédemment ouverte.
Ouvrez un port et masquez le trafic sortant en exécutant les
commandes suivantes.
Entrez en mode de configuration :
configure
Définissez le port de destination. Il s'agit d'un port arbitraire et 445 est
spécifié dans cet exemple.
set service nat destination rule 10 destination port 445
Définissez l'interface entrante :
set service nat destination rule 10 inbound-interface dp0s0
Définissez le protocole :
set service nat destination rule 10 protocol tcp
Définissez l'adresse de traduction, où
<client_instance_ip> est l'adresse IP du client
Linux :
set service nat destination rule 10 translation address <client_ip_address>
Par exemple :
set service nat destination rule 10 translation address 10.4.1.50
Définissez le port de traduction :
set service nat destination rule 10 translation port 22
Type commettre puis appuyez sur ENTER.
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
Configurez le trafic sortant sur le vRouter pour masquer les adresses internes
:
set service nat source rule 100 outbound-interface dp0s0
set service nat source rule 100 translation address masquerade
Type commettre puis appuyez sur ENTER
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
Remarque :
Les numéros de règles sont arbitraires ; toutefois, laissez suffisamment d'espace
entre les plages au cas où vous auriez besoin d'ajouter des règles connexes à l'
avenir.
Vérifiez que la configuration est mise à jour avec les règles que vous venez de créer en exécutant
la commande suivante :
show service
Une sortie similaire à celle qui suit s'affiche. Notez le port de destination,
le port de traduction et l'adresse de l'instance Linux créée.
Assurez-vous également que l'interface des deux règles est l'
interface externe du vRouter.
Dans la console AWS, une fois l'instance sélectionnée, cliquez sur
Connecter pour savoir comment vous connecter à votre instance
spécifique. Les noms d'utilisateur et la connectivité sont propres à l'AMI
sélectionnée.
Une fois que vous vous êtes connecté avec succès au client, envoyez un ping aux adresses IP publiques et privées que vous avez configurées
précédemment et assurez-vous que vous pouvez atteindre les adresses IP spécifiées. Par exemple :
Ouvrez une nouvelle fenêtre de terminal et connectez-vous au Brocade vRouter avec le nom d'utilisateur et la paire de clés
appropriés.
Envoyez un ping à l'adresse IP du client Linux. Par exemple :
ping 10.4.1.50
Affichez la feuille de route en exécutant la commande suivante :
show ip route
Un résultat similaire à ce qui suit s'affiche :
Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS
inter area
> - selected route, * - FIB route, p - stale info
IP Route Table for VRF "default"
Gateway of last resort is 10.4.0.1 to network 0.0.0.0
K *> 0.0.0.0/0 via 10.4.0.1, dp0s0
C *> 10.4.0.0/24 is directly connected, dp0s0
C *> 10.4.1.0/24 is directly connected, dp0s1
C *> 127.0.0.0/8 is directly connected, lo
Affichez le tableau ARP en exécutant la commande suivante :
Affichez les interfaces en exécutant la commande suivante :
show interface
Un résultat similaire au suivant apparaît :
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
dp0s0 10.4.0.187/24 u/u
dp0s1 10.4.1.10/24 u/u
Résumé
Dans cette section, vous avez installé et configuré une instance Linux pour générer du
trafic de paquets de test.
Configurer un ExtraHop EDA 1000v
Dans cette section, vous allez configurer une nouvelle sonde ExtraHop EDA 1000v.
Cliquez sur l'icône d'accueil de la console dans le coin supérieur gauche pour revenir à la page AWS
Management Console.
Dans la section Calculer, cliquez sur EC2.
Dans le volet de navigation, cliquez sur Instances.
Cliquez Lancer une instance pour démarrer l'assistant Amazon Machine Image
(AMI).
Cliquez AMI communautaires.
Type Hop supplémentaire dans le Rechercher des
AMI communautaires champ et localisez le ExtraHop Discover appliance
1000v 5.x.x.x AMI et cliquez Sélectionnez.
Sélectionnez le t2.medium type d'instance, puis cliquez sur
Suivant : Configurer les détails de l'instance.
Dans le Configurer les détails de l'instance page, effectuez les étapes
suivantes :
Type 1 dans le Nombre d'instances
champ.
Dans le Réseau dans la liste déroulante, sélectionnez le VPC
créé dans la première partie de ce guide.
Dans le Sous-réseau liste déroulante, sélectionnez le
sous-réseau privé 10.4.1.0/24.
Dans le Interfaces réseau type de section
10.4.1.15 dans le IP principale
champ, puis cliquez sur Suivant : Ajouter de l'espace de stockage.
Conservez le paramètre par défaut pour la taille de stockage par défaut. Cliquez Suivant :
Tag Instance.
Attribuez un nom à l'instance pour l'identifier. Ajoutez des balises supplémentaires
pour identifier cette instance dans l'environnement, puis cliquez sur Suivant :
Configuration du groupe de sécurité.
Sur le Configurer le groupe de sécurité page, effectuez les étapes
suivantes :
Sélectionnez Création d'un nouveau groupe de sécurité.
Dans le Nom du groupe de sécurité champ, saisissez un nom
descriptif. Par exemple, EDA 1000v.
Dans le Descriptif dans ce champ, saisissez une description pour
ce groupe de sécurité.
Cliquez Ajouter une règle 6 fois et configurez chacune
protocole tapez comme suit :
Type
Protocole
Gamme de ports
La source
SSH
TCP
22
N'importe où 0.0.0.0/0
HTTP
TCP
80
N'importe où 0.0.0.0/0
HTTPS
TCP
443
N'importe où 0.0.0.0/0
Règle TCP personnalisée
TCP
2003
N'importe où 0.0.0.0/0
Règle UDP personnalisée
UDP
2003
N'importe où 0.0.0.0/0
Tout le trafic
TOUS
0-65535
IP personnalisée 10.4.0.0/16
Tous les ICMP
ICMP
0-65535
N'importe où 0.0.0.0/0
Cliquez Révision et lancement.
Remarque :
Si un Démarrage à partir d'un disque SSD (General Purpose) une boîte de dialogue
apparaît, sélectionnez la première option, puis cliquez sur
Suivant.
Vérifiez la sélection d'instances, puis cliquez sur
Lancement.
Dans le Sélectionnez une page de paire de clés existante boîte de dialogue, sélectionnez
Procéder sans paire de clés depuis la liste déroulante.
La majeure partie de la configuration est effectuée via les paramètres d'administration de
la sonde, une paire de clés n'est donc pas nécessaire. Sélectionnez le Je
reconnais case à cocher, puis cliquez sur
Instances de lancement.
Accédez à votre liste d'instances dans AWS. Vérifiez que les vérifications d'état ont été effectuées avec succès
et notez l'adresse IP de l'instance.
Configurer le NAT sur le vRouter pour accéder au système ExtraHop
Pour accéder au système ExtraHop, le NAT doit être configuré sur le vRouter.
Revenez à l'invite du shell vRouter précédemment ouverte.
Ouvrez un port et masquez le trafic sortant en exécutant les
commandes suivantes.
Entrez en mode de configuration :
configure
Définissez le port de destination. Il s'agit d'un port arbitraire et
8443 est spécifié dans cet exemple.
set service nat destination rule 20 destination port 8443
Définissez l'interface entrante :
set service nat destination rule 20 inbound-interface dp0s0
Définissez le protocole :
set service nat destination rule 20 protocol tcp
Définissez l'adresse de traduction, où
<extrahop_instance_ip> est l'adresse IP du client
Linux :
set service nat destination rule 20 translation address
<extrahop_ip_address>
Par exemple :
set service nat destination rule 20 translation address 10.4.1.15
Définissez le port de traduction :
set service nat destination rule 20 translation port 443
Configurez le trafic sortant sur le vRouter pour masquer les adresses internes
(si ce n'est déjà fait) :
set service nat source rule 100 outbound-interface dp0s0
set service nat source rule 100 translation address masquerade
Tapez commit, puis appuyez sur ENTER.
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
Remarque :
Les numéros de règles sont arbitraires ; toutefois, laissez suffisamment d'espace
entre les plages au cas où vous auriez besoin d'ajouter des règles connexes à l'
avenir.
Vérifiez que la configuration est mise à jour avec les règles que vous venez de créer en exécutant
la commande suivante :
show service
Retournez à la console AWS pour créer une règle entrante sur le
groupe de sécurité par défaut afin de tester les règles NAT.
Dans le volet de navigation, cliquez sur Instances.
Sélectionnez le vRouter dans la liste des instances.
Dans le Description zone d'onglets, à côté de
Groupes de sécurité, cliquez
défaut.
Sur la page du groupe de sécurité, cliquez sur le Entrant
onglet.
Cliquez Modifier.
Cliquez Ajouter une règle.
Dans le Type liste déroulante, sélectionnez
Règle TCP personnalisée.
Dans le Gamme de ports champ, type
8443.
Dans le La source champ, type
0.0.0.0/0.
Dans votre navigateur, saisissez l'adresse IP du système ExtraHop :
https://<elastic_public_ip:8443>/admin
Sur le Licences page, lisez les
conditions générales d'ExtraHop, sélectionnez Je suis d'accord, puis cliquez sur
Soumettre.
Sur l'écran de connexion, tapez installation pour le nom d'utilisateur et
l'ID d'instance pour le mot de passe. Vous trouverez l'ID d'instance sur la
page Instances. Tapez les caractères suivants i- (mais pas
i- lui-même), puis cliquez sur
Connectez-vous.
Sur le Administration des capteurs page, dans le
Paramètres de l'appareil section, cliquez
Licence.
Cliquez Gérer la licence puis cliquez sur
S'inscrire.
Tapez la clé de produit obtenue auprès d'ExtraHop dans le champ Clé de produit, puis
cliquez sur S'inscrire.
Remarque :
Si l'enregistrement de licence échoue, assurez-vous que les règles de sécurité AWS autorisent le trafic
sortant HTTP et trafic HTTPS.
Cliquez Terminé.
Retournez au Administrateur page.
Dans le Réglages réseau section, cliquez
Connectivité.
Dans la section Interfaces, vérifiez que l'interface 1 est définie sur
Gestion + cible RPCAP/ERSPAN/VXLAN/GENEVE.
(Facultatif) Créez un nouveau volume pour le stockage de capture de paquets
Créez un nouveau volume pour l'EDA 1000v afin de stocker les données de capture de paquets activées par le déclencheur.
Dans le volet de navigation d'AWS, cliquez sur Volumes.
Cliquez Créer un volume. Dans le Boîte de
dialogue Créer un volume boîte, assurez-vous que
Zone de disponibilité sélectionné est la même zone que le Découvrir l'
instance puis cliquez sur Créez.
Sélectionnez le nouveau volume dans la liste des volumes, puis sélectionnez Joindre
un volume à partir du Actions menu déroulant.
Dans le Instance champ, sélectionnez votre instance Discover
, puis cliquez sur Joindre.
Dans le volet de navigation, cliquez sur Instances.
Sélectionnez l'instance Discover dans la liste, puis cliquez sur Actions > État de l'instance > Redémarrer.
Lorsque l'instance Discover revient à un état d'exécution, connectez-vous aux paramètres d'
administration du système ExtraHop via
https://<extrahop-hostname-or-IP-address>/admin.
Dans le Paramètres de l'appareil section, cliquez Disques et vérifiez que le nouveau
disque de capture de paquets apparaît dans la liste des disques directement connectés.
Cliquez Activer sur le disque de capture de paquets pour l'activer.
Résumé
Dans cette section, vous avez configuré le système ExtraHop pour recevoir les paquets réseau et le
trafic en provenance du ERSPAN interface. Facultativement, un disque supplémentaire
a été configuré pour autoriser les captures de paquets activées par le déclencheur.
Configurer ERSPAN et la surveillance des ports sur le Brocade vRouter
Dans cette section, vous allez configurer le ERSPAN et des fonctionnalités
de surveillance des ports sur le Brocade vRouter pour envoyer le trafic ERSPAN à la sonde ExtraHop.
Configurez l'interface ERSPAN en exécutant les commandes suivantes :
Entrez en mode de configuration :
configure
Définissez l'adresse IP locale pour l'interface ERSPAN :
set interfaces erspan erspan1 local-ip 10.4.1.10
Définissez l'adresse IP distante pour l'interface ERSPAN :
set interfaces erspan erspan1 remote-ip 10.4.1.15
Définissez la configuration supplémentaire suivante :
set interfaces erspan erspan1 ip tos inherit
set interfaces erspan erspan1 ip ttl 255
set interfaces erspan erspan1 mtu 1500
Afficher les modifications de configuration :
show interfaces
Tapez commit, puis appuyez sur ENTER.
Tapez enregistrer, puis appuyez sur ENTER pour enregistrer les modifications.
Configurez le moniteur de port et la source ERSPAN en exécutant les
commandes suivantes :
Remarque :
Dans cet exemple, la source du moniteur est l'interface interne
du Brocade vRouter. De plus, les numéros de session et d'identifiant sont
arbitraires, mais ne doivent pas chevaucher les autres identifiants de session.
Définissez le type de session portmonitor :
set service portmonitor session 25 type erspan-source
Définissez l'interface source pour la surveillance des ports :
set service portmonitor session 25 source dp0s1
Définissez l'interface de destination pour la surveillance des ports :
set service portmonitor session 25 destination erspan1
Définissez l'identifiant de session :
set service portmonitor session 25 erspan identifier 200
Définissez le type d'en-tête ERSPAN :
set service portmonitor session 25 erspan header type-II
Définissez la direction de l'ERSPAN :
set service portmonitor session 25 source dp0s1 direction both
Type commettre puis appuyez sur ENTER.
Type sauver puis appuyez sur ENTER pour enregistrer les
modifications.
La surveillance des ports pour la session est immédiatement activée si les paramètres de type, de
source, de destination, d'identifiant ERSPAN et de type d'en-tête ERSPAN
sont correctement configurés.
Type sortir pour quitter le mode configuration.
Type afficher la configuration pour afficher la nouvelle
configuration.
Un résultat similaire au suivant apparaît (tronqué pour
plus de clarté) :
erspan erspan1 {
ip {
tos inherit
ttl 255
}
local-ip 10.4.1.10
mtu 1500
remote-ip 10.4.1.15
}
.
.
portmonitor {
session 25 {
destination erspan1
erspan {
header type-II
identifier 200
}
source dp0s1 {
direction both
}
type erspan-source
}
}
Connectez-vous au système ExtraHop via
https://<elastic_public_ip:8443>/extrahop et vérifiez
que l'ExtraHop reçoit du trafic ERSPAN en provenance du vRouter depuis le Tableaux de bord interface.
Résumé
Dans cette section, vous avez configuré le Brocade vRouter pour envoyer ERSPAN trafic vers le système ExtraHop permettant d'analyser le trafic au sein du cloud privé virtuel
Amazon Web Services sans en installer RPCAPD clients.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?