Déployez une sonde ExtraHop avec Hyper-V
Les procédures suivantes expliquent comment déployer l'ExtraHop EDA 1100v virtuel. capteurs sur la plateforme Microsoft Hyper-V. Vous devez avoir de l'expérience dans l'administration de votre produit hyperviseur pour effectuer ces procédures.
Exigences relatives aux machines virtuelles
Votre hyperviseur doit être capable de prendre en charge les spécifications suivantes pour le virtuel sonde.
- Hyper-V sur Windows Server 2012 (ou version ultérieure) capable d'héberger la sonde virtuelle
- Gestionnaire Hyper-V pour gérer la machine virtuelle
- (Facultatif) Si vous souhaitez activer les captures de paquets, configurez un disque de stockage supplémentaire lors du déploiement. Reportez-vous à la documentation de votre fournisseur pour ajouter un disque.
- Le tableau suivant indique la configuration matérielle requise pour chaque modèle de sonde :
capteur | CPU | RAM | Disque |
---|---|---|---|
Reveal (x) EDA 1100v | 4 cœurs de traitement avec prise en charge de l'hyperthreading, technologie VT-x ou AMD-V et architecture 64 bits. Streaming SIMD Extensions 4.2 (SSE4.2) et support des instructions POPCNT. | 8 GO | Disque de 46 Go ou plus (à provisionnement épais) Disque de 250 Go ou moins pour les captures de paquets (provisionné en gros) |
- Ne modifiez pas la taille de disque par défaut lors de l'installation initiale. Le maintien de la taille de disque par défaut garantit un retour en arrière correct des métriques ExtraHop et le bon fonctionnement du système. Si votre configuration nécessite une taille de disque différente, contactez votre représentant ExtraHop avant de procéder à la modification.
- Ne migrez pas la machine virtuelle. Bien qu'il soit possible de migrer lorsque la banque de données se trouve sur un SAN distant, ExtraHop ne recommande pas cette configuration.
Important : | Si vous souhaitez déployer plusieurs sondes virtuelles ExtraHop, créez la nouvelle instance avec le package de déploiement d'origine ou clonez une instance existante qui n'a jamais été démarrée. |
Exigences relatives au réseau
Intra-VM: Un port réseau Ethernet 1 Gbit/s est requis (pour la gestion). Le port de gestion doit être accessible sur le port 443.
Externe: Deux ports réseau Ethernet 1 Gbit/s sont nécessaires. Un pour le miroir des ports physiques et un pour la gestion. L'interface miroir de ports physique doit être connectée au miroir de ports du commutateur. Bien qu'il soit possible de configurer un port réseau Ethernet 10 Gbit/s pour l'interface miroir des ports, cela n'est pas recommandé car la sonde virtuelle ne peut pas traiter plus de 1 Gbit/s de trafic.
Remarque : | Toutes les cartes d'interface réseau virtuelles sont configurées en mode trunk par défaut. Si vous devez attribuer un VLAN spécifique à votre interface de gestion, vous devez modifier l'interface via PowerShell pour passer en mode accès. |
Important : | Pour garantir les meilleures performances lors de la synchronisation initiale de l'équipement, connectez tous les capteurs à la console, puis configurez le transfert du trafic réseau vers les capteurs. |
Installez les fichiers pour Hyper-V
Before you begin
Si ce n'est pas déjà fait, téléchargez le fichier du microprogramme de la sonde ExtraHop pour Hyper-V à partir du Portail client ExtraHop et extrayez le contenu du .zip fichier sur votre machine Windows Server.Configurer une adresse IP statique via l'interface de ligne de commande
Le système ExtraHop est configuré par défaut avec DHCP activé. Si votre réseau ne prend pas en charge le DHCP, aucune adresse IP n'est acquise et vous devez configurer une adresse statique manuellement.
Important : | Nous recommandons vivement configuration d'un nom d'hôte unique. Si l'adresse IP du système change, la console ExtraHop peut facilement rétablir la connexion au système par nom d'hôte. |
- Accédez à la CLI via une connexion SSH, en connectant un clavier USB et un moniteur SVGA à l'appliance physique ExtraHop, ou via un câble série RS-232 (null modem) et un programme d'émulation de terminal. Réglez l'émulateur de terminal sur 115200 bauds avec 8 bits de données, aucune parité, 1 bit d'arrêt (8N1) et le contrôle du flux matériel désactivé.
- À l'invite de connexion, tapez coquille puis appuyez sur ENTER.
- À l'invite de mot de passe, tapez défaut, puis appuyez sur ENTER.
-
Pour configurer l'adresse IP statique, exécutez les commandes suivantes :
Configuration de la sonde
Après avoir configuré une adresse IP pour sonde, ouvrez un navigateur Web et accédez au système ExtraHop via l'adresse IP configurée. Acceptez le contrat de licence, puis connectez-vous. Le nom de connexion par défaut est setup et le mot de passe est default. Suivez les instructions pour saisir la clé de produit, modifier la configuration par défaut et les mots de passe du compte utilisateur shell, vous connecter aux services cloud ExtraHop et vous connecter à une console ExtraHop.
Une fois que le système a obtenu une licence et que vous avez vérifié que le trafic est détecté, suivez les procédures recommandées dans liste de contrôle après le déploiement.
Données Mirror Wire
Cette section inclut les procédures de mise en miroir des données sur votre appliance virtuelle ExtraHop.
Refléter le trafic interne et externe
La sonde virtuelle ExtraHop peut être configurée pour surveiller le trafic réseau dans les exemples de configuration réseau suivants. Chaque exemple nécessite une modification de la configuration réseau de son hyperviseur hôte et spécifie l'adaptateur réseau 1 comme interface de gestion .
Remarque : | La surveillance du trafic réseau externe mis en miroir nécessite une carte réseau externe et un commutateur virtuel associé. |
Surveillance du trafic intra-VM
Le sonde peut être configuré pour surveiller le trafic réseau d'une autre machine virtuelle sur le même hôte en choisissant Miroir de ports mode dans le gestionnaire Hyper-V. Une machine virtuelle ExtraHop exécutée en mode port de duplication ne peut surveiller qu'une autre machine virtuelle exécutée sur le même commutateur virtuel.
Activer le mode port de duplication dans le gestionnaire Hyper-V
- Cliquez avec le bouton droit sur le bouton droit sonde VM et sélectionnez Réglages.
- Élargir Adaptateur réseau et cliquez Fonctionnalités avancées.
- Dans le Mise en miroir des ports section, cliquez sur la liste déroulante du mode de mise en miroir et sélectionnez La source.
- Prenez note du réseau source et assurez-vous que l'interface de capture de la machine virtuelle ExtraHop se trouve sur le même réseau.
- Cliquez Appliquer.
- Cliquez OK..
- Répétez ces étapes pour toutes les machines virtuelles que vous souhaitez surveiller, à l'exception de la première machine virtuelle que vous avez créée dans cette procédure.
Surveillance du trafic miroir externe vers la machine virtuelle
Ce scénario nécessite une deuxième interface réseau physique et la création d'un second vSwitch associé à cette carte réseau. Cette carte réseau se connecte ensuite à un miroir, un tap ou un agrégateur qui copie le trafic provenant d'un commutateur. Cette configuration est utile pour surveiller l' intranet d'un bureau.
Transférateur de paquets
Un redirecteur de paquets transfère le trafic de n'importe quel hôte vers le système ExtraHop. Un redirecteur de paquets est conceptuellement similaire à une prise réseau physique, mais implémenté dans un logiciel. Dans ces rubriques et dans l'industrie, ce logiciel est également appelé robinet logiciel, ou parfois RPCAP, qui signifie capture de paquets à distance.
Pour implémenter le redirecteur de paquets, assurez-vous de ce qui suit :
- Vous disposez d'un accès administrateur aux serveurs que vous souhaitez surveiller.
- Vous utilisez un système d'exploitation Linux ou Windows 64 bits (Windows Server 2008 R2 ou 2012).
Pour garantir le bon fonctionnement de l'appliance virtuelle ExtraHop :
- Assurez-vous que le RPCAP est activé sur l'appliance virtuelle ExtraHop. Voir le Configuration de paramètres RPCAP supplémentaires section pour les paramètres facultatifs.
- Installez le redirecteur de paquets sur les serveurs qui envoient du trafic.
- Analysez le trafic dans le système ExtraHop.
Installation du redirecteur de paquets sur un serveur Linux
Vous devez installer le logiciel de transfert de paquets sur chaque serveur à surveiller pour transférer les paquets vers le système ExtraHop.
Téléchargement et installation sur des systèmes basés sur Debian
Pour télécharger et installer le redirecteur de paquets sur les systèmes basés sur Debian :
Téléchargement et installation sur d'autres systèmes Linux
Installation du redirecteur de paquets sur un serveur Windows
Vous devez installer le logiciel de transfert de paquets sur chaque serveur à surveiller afin de transférer les paquets vers le système ExtraHop.
Surveillance de plusieurs interfaces sur un serveur Linux
Pour les serveurs dotés de plusieurs interfaces, vous pouvez configurer le redirecteur de paquets pour qu'il transfère des paquets depuis une interface particulière ou depuis plusieurs interfaces en modifiant son fichier de configuration sur le serveur.
Pour modifier le fichier de configuration, procédez comme suit.
Surveillance de plusieurs interfaces sur un serveur Windows
Pour les serveurs dotés de plusieurs interfaces, vous pouvez configurer le redirecteur de paquets pour qu'il transfère des paquets depuis une interface particulière ou depuis plusieurs interfaces en modifiant son fichier de configuration sur le serveur.
Pour modifier le fichier de configuration, procédez comme suit.
Configuration de paramètres RPCAP supplémentaires
Par défaut, le système ExtraHop accepte les paquets transférés sur le port 2003. Les serveurs utilisant le logiciel tap sont dirigés de manière à transférer tout le trafic, comme indiqué par le caractère générique (*) dans le Adresse de l'interface colonne.
Pour spécifier un autre port, procédez comme suit.
Analyse des données filaires à partir d'un redirecteur de paquets
Pour connaître la quantité de données filaires que le système ExtraHop reçoit du redirecteur de paquets :
Supprimer le redirecteur de paquets d'un serveur Linux
- Pour arrêter et supprimer le logiciel d'un serveur Linux basé sur Debian, exécutez
les commandes suivantes :
sudo service rpcapd stop sudo dpkg -r rpcapd sudo dpkg --get-selections | grep rpcapd
Vous pouvez également définir le -P drapeau pour supprimer complètement le package de votre système.
- Pour arrêter et supprimer le logiciel d'un serveur Linux basé sur RPM, exécutez les commandes
suivantes :
service rpcapd stop rpm -e rpcapd-<extrahop_firmware_version>.x86_64
- Pour arrêter et supprimer le logiciel Tap sur un autre serveur Linux, exécutez les
commandes
suivantes :
sudo /etc/init.d/rpcapd stop sudo update-rc.d -f rpcapd remove sudo rm -rf /opt/extrahop sudo rm -f /etc/init.d/rpcapd
Suppression du transexpéditeur de paquets d'un serveur Windows
Pour supprimer le logiciel d'un serveur Windows ou de votre poste de travail Windows :
- Accédez au Menu Démarrer et sélectionnez Panneau de commande.
- Sélectionnez Désinstaller un programme.
- Sélectionnez Service RPCAP pour Windows.
- Dans la boîte de dialogue contextuelle, cliquez sur Supprimer.
- Lorsque la suppression est terminée, cliquez sur Fermer.
Nous vous remercions pour vos commentaires. Pouvons-nous vous contacter pour vous poser des questions complémentaires ?