Stellen Sie den EDA 10300-Sensor bereit
In dieser Anleitung wird die Installation des im Rack montierten EDA 10300 erklärt Sensor.
Mit dieser Installation können Sie die Netzwerkleistungsüberwachung, Netzwerkerkennung und -reaktion sowie die Erkennung von Eindringlingen auf einem einzigen Gerät ausführen Sensor. Durch Hinzufügen des IDS-Moduls können Sie auch IDS-Erkennungen hochladen und anzeigen.
Wichtig: | Das IDS-Modul benötigt das NDR-Modul. Bevor Sie das IDS-Modul auf diesem Sensor aktivieren können, müssen Sie die Sensor-Firmware auf Version 9.6 oder höher aktualisieren. Wenn das Upgrade abgeschlossen ist, können Sie die neue Lizenz auf den Sensor anwenden. |
Hinweis: | Wenn Sie das IDS-Modul auf diesem Sensor aktiviert haben und Ihr ExtraHop-System keinen direkten Zugang zum Internet und keinen Zugriff auf ExtraHop Cloud Services hat, müssen Sie IDS-Regeln manuell hochladen. Weitere Informationen finden Sie unter Laden Sie die IDS-Regeln über die REST-API in das ExtraHop-System hoch. |
Voraussetzungen für die Installation
- Fühler
- 2 HE Rackfläche und elektrische Anschlüsse für 2 x 800-W-Stromversorgungen.
- Verwaltung
- Ein 10/100/1000 BASE-T-Netzwerkanschluss oder ein 10G BASE-SR-Port für die Sensorverwaltung.
- Überwachung (Erfassung)
- Hochleistungsschnittstellen: Ein bis sechs Netzwerkanschlüsse für den Anschluss an 100-GbE-, 40-GbE-, 25-GbE- oder 10-GbE-Paketdatenquellen.
- Management- und Überwachungsschnittstellen: Ein bis zwei Netzwerkanschlüsse für den Anschluss an 1-GbE-Paketdatenquellen.
- Zugriff auf das Netzwerk
- Stellen Sie sicher, dass Administratoren auf die Administrationseinstellungen auf der Sensor über TCP-Port 443.
Weitere Informationen zu den Schnittstellen auf dem ExtraHop-System finden Sie in der Häufig gestellte Fragen zu ExtraHop Hardware.
Anschlüsse auf der Rückseite
VON 10300
- Vier 100-GbE-fähige Ports an zwei Netzwerkadaptern. Bei diesen Anschlüssen handelt es sich um Hochleistungsschnittstellen zur Überwachung (Erfassung).
- Ein serieller RS-232-Anschluss zum Anschließen eines Konsolengeräts
- Netzteil (PSU2) zum Anschluss des Sensor an eine Wechselstromquelle
- Ein VGA-Anschluss zum Anschluss eines externen Displays
- Zwei USB 3.0-Anschlüsse zum Anschließen von Eingabegeräten wie Tastatur und Maus
- Ein iDRAC-Schnittstellenport
- Zwei 10-GbE-Anschlüsse. Diese Ports können als Management-Port oder Management- und RPCAP/ERSPAN/VXLAN/GENEVE-Ziel konfiguriert werden. Diese Ports
dienen auch als Hochleistungsschnittstellen zur Überwachung (Erfassung).
Hinweis: Die Verarbeitung von RPCAP-, ERSPAN-, VXLAN- und GENEVE-Verkehr ist in den Modi „Management + RPCAP/ERSPAN/VXLAN/GENEVE" auf 1 Gbit/s pro Schnittstelle begrenzt, aber die Ports unterstützen in den Zielmodi Monitoring und High-Performance ERSPAN/VXLAN/GENEVE bis zu 10 Gbit/s pro Schnittstelle. - Zwei 10/100/1000 BASE-T-Netzwerkanschlüsse. Port 1 ist der primäre Management-Port.
Beide Ports können als Monitoring-Port, Management-Port oder Management- und RPCAP/ERSPAN/VXLAN/GENEVE-Ziel konfiguriert werden.Während die 10-GbE-Management+-Erfassungsschnittstellen auf diesem Sensor Verwaltungsfunktionen mit Geschwindigkeiten von 10 Gbit/s ausführen können, ist die Verarbeitung von Datenverkehr wie ERSPAN, VXLAN und GENEVE auf 1 Gbit/s begrenzt.
Hinweis: In Umgebungen mit asymmetrischem Routing neben den Hochleistungsschnittstellen gelangen Ping-Antworten möglicherweise nicht an den Absender zurück. - Netzteil (PSU1) zum Anschluss des Sensor an eine Wechselstromquelle
Unterstützte Paketquellenkonnektivität
Stecker | Peer-Connector für Paketquelle | Vom Kunden bereitgestellte Verkabelung | Unterstützte Betriebsgeschwindigkeiten |
---|---|---|---|
Transceiverbasierte Konnektivität | |||
100-GbE-QSFP28-SR4-Transceiver | 100-GbE-QSFP28-SR4-Transceiver | Multimode-Glasfaser MPO Steckverbinder |
100 Gbit/s, 40 Gbit/s |
40-GbE-QSFP+-SR4-Transceiver | Multimode-Glasfaser MPO Steckverbinder |
40 Gbit/s | |
40-GbE-QSFP SR BiDi-Transceiver (nur vom Kunden bereitgestellter Cisco QSFP-40G-SR-BD) | 40GbE QSFP+ SR BiDi-Transceiver | Duplex-Multimode-Glasfaser-LC-Steckverbinder | 40 Gbit/s |
25-GbE-SFP28-SR-Transceiver (mit QSFP28-zu-SFP28-Adapter) | 2,5-GbE-SFP28-SR-Transceiver | Multimode-Glasfaser LC-Stecker |
25 Gbit/s, 10 Gbit/s |
10GbE SFP+ SR-Transceiver | Multimode-Glasfaser LC-Stecker |
10 Gbit/s | |
Direct Attach-Konnektivität | |||
Vom Kunden bereitgestelltes SFP28-DAC-Kabel, z. B. die MELLANOX MCP2M00-Axxx-Serie | 100 Gbit/s | ||
QSFP28-zu-SFP28-Adapter mit vom Kunden bereitgestelltem SFP28-DAC-Kabel, z. B. die Mellanox MCP2M00-Axxx-Serie | 25 Gbit/s | ||
Vom Kunden bereitgestelltes RJ45-Ethernet-Kabel | 1 Gbit/s |
Hinweis: | Die Paketverarbeitungsfähigkeit des Sensor beträgt 100 Gbit/s. Es ist zwar möglich, dass der Sensor überlastet wird, indem mehr als 100 Gbit/s an Paketdaten über die vier 100-GbE-fähigen Ports gesendet werden, aber eingehende Workloads, die 100 Gbit/s überschreiten, führen dazu, dass Pakete verloren gehen. |
Richtlinien zur Verkehrsverteilung
- Pakete aus demselben Fluss sollten auf derselben Schnittstelle oder auf Schnittstellen derselben Netzwerkschnittstellenkarte (NIC) empfangen werden.
- Die Aufnahme auf jeder Netzwerkkarte sollte 75% des bewerteten Analysedurchsatzes für die Sensor um sicherzustellen, dass der Datenverkehr auf die Systemressourcen verteilt ist.
- Wenn Ihr Datenfeed nicht beide Schnittstellen auf der NIC benötigt, deaktivieren Sie die unkonfigurierten Schnittstellen in den Administrationseinstellungen. Konfigurieren Sie den Sensor beispielsweise mit einer einzigen Schnittstelle, um 50 Gbit/s auf jeder Netzwerkkarte aufzunehmen. Deaktivieren Sie die externen Ports auf jeder Netzwerkkarte. Diese Konfiguration optimiert die Leistung für 100 Gbit/s.
- Es wird erwartet, dass ein einzelnes Hochleistungs-ERSPAN-Target 20 bis 30 Gbit/s verarbeitet. Auf einem größeren Sensoren, verteilen Sie den ERSPAN-Verkehr auf mehr Schnittstellen, um die Datenaufnahme zu skalieren.
Konfiguration der Verwaltungs-IP-Adresse
DHCP ist auf dem ExtraHop-System standardmäßig aktiviert. Wenn Sie das System einschalten, versucht Interface 1, eine IP-Adresse über DHCP abzurufen. Bei Erfolg wird die IP-Adresse auf dem Startbildschirm der LCD-Anzeige angezeigt.
Wenn Ihr Netzwerk DHCP nicht unterstützt, können Sie eine statische IP-Adresse über das LCD-Menü auf der Vorderseite oder über die Befehlszeilenschnittstelle (CLI) konfigurieren.
Wichtig: | Wir empfehlen dringend Konfiguration eines eindeutigen Hostnamens. Wenn sich die System-IP-Adresse ändert, kann die ExtraHop-Konsole die Verbindung zum System einfach über den Hostnamen wiederherstellen. |
Konfigurieren Sie eine statische IP-Adresse über das LCD
Konfigurieren Sie eine IP-Adresse über die CLI
Before you begin
Sie können auf die CLI zugreifen, indem Sie eine USB-Tastatur und einen SVGA-Monitor an die Appliance anschließen oder über ein serielles RS-232-Kabel (Nullmodem) und ein Terminalemulatorprogramm. Stellen Sie den Terminalemulator auf 115200 Baud mit 8 Datenbits, ohne Parität, 1 Stoppbit (8N1) und deaktivierter Hardware-Flusskontrolle ein.Sie können eine IP-Adresse manuell über die CLI konfigurieren.
(Optional) Konfigurieren Sie die 10-GbE-Verwaltungsschnittstelle
Sie können einen 10-GbE-Anschluss (Port 1 oder Port 2) konfigurieren, um das System zu verwalten. Mit den folgenden Befehlen werden die Einstellungen von Port 3 auf Port 1 verschoben und dann Port 3 deaktiviert. Alternativ können Sie die 10-GbE-Verwaltungsschnittstelle in den Administrationseinstellungen konfigurieren.
Den Sensor konfigurieren
Before you begin
Bevor Sie den Sensor konfigurieren können, müssen Sie bereits eine Verwaltungs-IP-Adresse konfiguriert haben.Nächste Maßnahme
Nachdem das System lizenziert ist und Sie sich vergewissert haben, dass Datenverkehr erkannt wird, führen Sie die empfohlenen Verfahren in der Checkliste nach der Bereitstellung .
Danke für deine Rückmeldung. Dürfen wir Sie kontaktieren, um weitere Fragen zu stellen?