Table of Contents · desenvolvimento ocorre. Com base nas informações de DevOps, podemos agora aplicar as regras de firewall no estágio de QA e nos preparar para testes a fim de

Table of ContentsVisão geral do laboratório - HOL-1829-01-NET - Como começar com o vRealize NetworkInsight............................................................................................................................... 2

Orientação de laboratório ....................................................................................... 3Módulo 1: Microssegmentação e segurança (30 minutos) ................................................ 8

Introdução............................................................................................................... 9Introdução à microssegmentação ......................................................................... 11Conclusão ............................................................................................................. 50

Módulo 2: Visibilidade completa de redes virtuais e físicas (45 minutos) .......................51Introdução............................................................................................................. 52Total visibilidade e solução de problemas de rede ................................................ 53Conclusão ............................................................................................................. 89

Módulo 3: Gerenciamento e operações avançados do NSX (45 minutos) .......................91Introdução............................................................................................................. 92Operações de gerenciamento avançado do NSX .................................................. 93Simulação interativa dos laboratórios práticos: gerenciamento e operaçõesavançados do NSX .............................................................................................. 105Conclusão ........................................................................................................... 106

Módulo 4: Gerenciamento da segurança para as nuvens públicas (AWS) (30 minutos)107Introdução........................................................................................................... 108Introdução ao Gerenciamento da segurança para as nuvens públicas (AWS).....109Conclusão ........................................................................................................... 128

HOL-1829-01-NET

Page 1HOL-1829-01-NET

Visão geral do laboratório- HOL-1829-01-NET -Como começar com o

vRealize Network Insight

HOL-1829-01-NET


Orientação de laboratórioObservação: A conclusão deste laboratório levará aproximadamente 90minutos. Espera-se que você termine apenas dois dos módulos durante essetempo se você não tiver experiência com o vRealize Network Insight. Osmódulos são independentes uns dos outros para que você possa começardesde o início de cada um e prosseguir de onde parou. Use o Índice paraacessar qualquer módulo à sua escolha.

Ele pode ser acessado no canto superior direito do Manual do laboratório.

Neste laboratório, serão apresentadas aos alunos uma visão geral e uma demonstraçãode como usar o vRealize Network Insight. Este laboratório se concentra em quatrocapacidades específicas e em dois cenários de caso de uso. O primeiro módulo introduza microssegmentação e a segurança em redes, seguido pelo módulo dois, que forneceráum passo a passo do mapa detalhado de um fluxo em tempo real proporcionando umavisão completa para sobreposições e subposições entre plataformas. O Módulo 3 seconcentra no NSX Manager e fornece uma análise aprofundada de como gerenciamosoperações NSX avançadas no vRealize Network Insight. O Módulo 4 se concentra nogerenciamento da segurança para as nuvens públicas (AWS).

Lista de módulos de laboratório:

• Módulo 1: Microssegmentação e segurança (30 minutos)• Módulo 2: Visibilidade completa de redes virtuais e físicas (45 minutos)• Módulo 3: Gerenciamento e operações avançados do NSX (45 minutos)• Módulo 4: Gerenciamento da segurança para as nuvens públicas (AWS)

(30 minutos)

Responsável pelo laboratório:

• Módulo 1-4: Atif Qadeer, engenheiro de sistemas sênior do NSX, ReinoUnido

Este manual do laboratório pode ser obtido por download no site de Documentos delaboratório prático em:

[http://docs.hol.pub/HOL-2017]

Este laboratório pode estar disponível em outros idiomas. Este documento podeorientá-lo pelo processo de definir sua preferência de idioma e ter um manual localizadoimplantado com seu laboratório:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf

HOL-1829-01-NET


public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/[http:/docs.hol.pub/HOL-2017]http://docs.hol.vmware.com/announcements/nee-default-language.pdf

Localização do Console principal

1. A área na caixa VERMELHA contém o Console principal. O Manual do laboratórioestá na guia à direita do Console principal.

2. Um laboratório específico pode ter outros consoles em guias separadas na partesuperior esquerda. Se necessário, você será direcionado para abrir outro consoleespecífico.

3. Seu laboratório começa com 90 minutos no cronômetro. Não é possível salvar olaboratório. Você deve fazer todo o seu trabalho durante a sessão do laboratório.No entanto, é possível clicar em EXTEND para estender o tempo. Se você

estiver em um evento da VMware, poderá estender o tempo do laboratório duasvezes, por no máximo 30 minutos. Cada clique acrescenta 15 minutos. Excetopelos eventos da VMware, você pode estender o tempo do seu laboratório por nomáximo nove horas e 30 minutos. Cada clique acrescenta uma hora.

Métodos alternativos de entrada de dados por teclado

Durante este módulo, digite o texto no Console principal. Além da digitação direta, hádois métodos muito práticos que facilitam a entrada de dados complexos.

Clique e arraste o conteúdo do manual do laboratório paraa janela ativa do console

Você também pode clicar e arrastar textos e comandos da interface de linha decomando diretamente do Manual do laboratório para a janela ativa no Console principal.

Acesso ao teclado internacional on-line

HOL-1829-01-NET


Você pode também usar o teclado internacional on-line do Console principal.

1. Clique no ícone de teclado que fica na barra de tarefas de Início Rápido doWindows.

Clique uma vez na janela ativa do console

Neste exemplo, você utilizará o teclado on-line para inserir o sinal "@" usado emendereços de e-mail. Nos layouts de teclado dos Estados Unidos, pressione Shift+2 parainserir o sinal "@".

1. Clique uma vez na janela ativa do console.2. Clique na tecla Shift.

Clique na tecla @

1. Clique na "tecla @".

Observe o sinal @ inserido na janela ativa do console.

HOL-1829-01-NET


vRealize Network Insight: navegação

• 1 - "HOME": use esta opção se precisar retornar à tela de navegação e pesquisaoriginal

• 2 - Painel de navegação• 3 - Barra de pesquisa incluindo linha do tempo• 4 - Painel de detalhes e informações• 5 - Alertas/pinboards/configurações

Solicitação ou marca d'água de ativação

Quando você iniciar o laboratório pela primeira vez, talvez observe uma marca d'águana área de trabalho, que indica que o Windows não está ativado.

Um dos principais benefícios da virtualização é que as máquinas virtuais podem sermovidas e executadas em qualquer plataforma. O Hands-on Labs utiliza esse benefício,e é possível executá-lo em vários data centers. No entanto, esses data centers podem

HOL-1829-01-NET


não ter processadores idênticos, o que aciona uma verificação de ativação da Microsoftpela Internet.

A VMware e os Hands-on Labs estão em total conformidade com os requisitos delicenciamento da Microsoft. O laboratório que você está usando é um pod autocontido enão tem o acesso completo à Internet necessário para que o Windows verifique aativação. Sem o acesso completo à Internet, esse processo automatizado falha, e amarca d'água é exibida.

Esse problema superficial não afeta seu laboratório.

Observe a parte inferior direita da tela

Verifique se foram concluídas todas as rotinas de inicialização do seu laboratório e seele está pronto para você começar. Se aparecer algo diferente de "Ready", aguardealguns minutos. Após cinco minutos, se o laboratório ainda não aparecer como"Ready", peça ajuda.

HOL-1829-01-NET


Módulo 1:Microssegmentação e

segurança (30 minutos)

HOL-1829-01-NET


IntroduçãoQuando empresas de médio a grande porte implantam o NSX, muitas vezes elas têmdificuldade para definir o nível de microssegmentação necessário entre aplicativos nasredes. A parte mais desafiadora é saber quais informações são necessárias paracomeçar, como localizar as informações, medir tráfego e como capturar os resultados.

O vRealize Network Insight ajuda a resolver esse problema ao analisar e categorizar asVMs em grupos lógicos com base em características específicas de processamento erede. Esse processo gera automaticamente um modelo recomendado de grupos desegurança e regras de firewall específicas para cada grupo. Isso facilita muito a vida dosarquitetos e engenheiros de segurança.

O vRealize Network Insight (vRNI) utiliza o coletor IPFIX na camada do Switch virtualdistribuído para capturar os fluxos de dados. Ativamos o IPFIX na camada do Switchvirtual distribuído para os Hosts ESXi e encaminhamos os pacotes UDP do IPFIX para oappliance do vRealize Network Insight. A captura de dados possibilitará fluxo de dadosem tempo real para todo o tráfego de porta e fornecerá recursos de filtragemadicionais para explorar o tráfego leste-oeste.

Temos dois cenários para ajudar a explicar como o vRealize Network Insight pode serutilizado para garantir que tenhamos visibilidade total e detalhada para implantarregras de firewall a fim de realizar a microssegmentação sem precisar fazeradivinhações.

Cenário 1: (implantação em data centers existentes) o cliente ABC adquiriu o ESXi e oNSX e não tem uma compreensão clara de como implantar de forma operacional ascargas de trabalho existentes com proteção de firewall leste-oeste ou como segmentara carga de trabalho. O cliente não usará o vRealize Network Insight para observar ofluxo de dados em tempo real entre portas para criar as regras de firewall leste-oeste. Oprocesso do vRealize Network Insight observará os padrões de tráfego com base nofluxo de dados capturado; em seguida, serão feitas recomendações para proteger ascargas de trabalho para a comunicação leste-oeste. O firewall e a microssegmentaçãoatuais podem também ser verificados.

Cenário 2: (redes novas) o cliente ABC tem um novo projeto de desenvolvimento paraDevOps e não saberia quais seriam as recomendações ou regras de firewall imediatas.Com o uso do vRealize Network Insight, poderíamos começar imediatamente amonitorar o fluxo de dados em tempo real à medida que cada implantação edesenvolvimento ocorre. Com base nas informações de DevOps, podemos agora aplicaras regras de firewall no estágio de QA e nos preparar para testes a fim de garantir que,quando movermos as cargas de trabalho para Produção, tenhamos segurançaoperacional de dia zero para tráfego leste-oeste no data center.

OBSERVAÇÃO: O NSX não é necessário em nenhum estágio para capturar, observar oudefinir com êxito as regras de firewall leste-oeste. O processo de planejar a segurança

HOL-1829-01-NET


somente utiliza o IPFIX e a camada vDS para capturar e observar o fluxo de dados entreportas.

Este módulo contém as seguintes lições:

• Identificar as regras de firewall para microssegmentação• Topologia de grupo de segurança• Rastreamento de uma regra de firewall• Exportação de regras de firewall para o NSX Manager (Simulação interativa)• Conclusão

HOL-1829-01-NET


Introdução à microssegmentaçãoEsta seção contém as seguintes lições:

• Identificação das regras de firewall para microssegmentação• Topologia de grupo de segurança• Rastreamento de uma regra de firewall

Verificação de status do laboratório

1. Antes de continuar, certifique-se de que o status do laboratório exibe Ready.

Feche as sessões do navegador dos módulos anteriores

Abra o Google Chrome

1. Abra o Chrome na área de trabalho do Centro de controle.

Observação: O Internet Explorer não funciona e não é certificado para uso com ovRealize Network Insight no momento deste lançamento.

HOL-1829-01-NET


Selecione vRealize Network Insight Favorite

1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insight nãocarregar automaticamente)

HOL-1829-01-NET


vRealize Network Insight: tela de login

Faça login no portal

1. Nome de usuário: [email protected]. Senha: VMware1!3. Clique em Login para continuar

HOL-1829-01-NET


mailto:[email protected]

Planejamento da segurança

Quando o login no portal do vRealize Network Insight for concluído, a primeira telaexibirá uma barra de pesquisa na parte superior

1. Digite plan security (a barra de pesquisa usa preenchimento automático, e umtexto previsto é exibido enquanto você digita).

2. Selecione o ícone de tempo.

HOL-1829-01-NET


Planejamento da segurança: especifique uma predefinição

1. Selecione Presets.2. Selecione Last Week.3. Clique no ícone de pesquisa para continuar.

HOL-1829-01-NET


Visão geral: distribuição de tráfego (painel esquerdo)

A representação visual do tráfego é mostrada para compreender o relacionamentológico entre cada componente, físico ou virtual, a fim de rastrear fluxos e sessões emuma rede:

• Fluxos internos/fluxos externos• Fluxos protegidos/fluxos desprotegidos• por VLAN ou VXLAN

O padrão para essa visualização é "Last 1 day" Não altere essa opção, pois jáespecificamos o filtro de tempo.

HOL-1829-01-NET


Distribuição de tráfego: visão geral (painel direito)

A seção Distribuição de tráfego é explicada em um formato de número abaixo. Useestas informações como referência e não clique nos links neste estágio.

• A - Esta é a soma de todos os fluxos de tráfego, com a porcentagem exibidacomo tráfego somente leste-oeste.

• B - Isso indica a porcentagem de tráfego que foi alternada.• C - A porcentagem de tráfego que é roteada entre as portas leste-oeste.• D - Isso indica que o tráfego de máquina virtual para máquina virtual como uma

porcentagem da soma no ponto número 1.• E - O tráfego observado entre máquinas virtuais no mesmo host.• F - O Tráfego que exige acesso à Internet.

Leste-oeste (EW) - Tráfego

Para visualizar detalhes específicos sobre fluxos de dados, clique em qualquer um dosseis blocos para obter informações detalhadas sobre fluxos e sessões (use o [x] nocanto direito para fechar a observação ao concluir para continuar com a próxima etapa

HOL-1829-01-NET


deste laboratório). É importante compreender a distribuição de fluxos e sessões paracriar uma estratégia baseada no ambiente real a fim de atingir a microssegmentação.

Uma Sessão tem cinco listas ordenadas de objetos, também chamadas de tuplas, (aporta de origem é uma das cinco listas, o que significa que toda vez que uma novaconexão TCP é estabelecida e encerrada, uma nova sessão é gravada).

Um Fluxo é uma agregação de sessões compostas de quatro ao invés de cinco tuplas -como a porta de origem é muito dinâmica (amplo alcance e mudanças contínuas) ela éignorada e o fluxo combinará as tuplas restantes em uma única lista ordenada deobjetos. Assim, contanto que várias sessões tenham o mesmo IP de origem, o mesmo IPde destino, a mesma porta de destino e o mesmo protocolo, elas serão combinadas emum registro chamado fluxo.

Portanto, milhares de sessões em um dia entre duas máquinas em uma porta de destinoespecífica (ssh, dns etc.) seriam combinadas em um fluxo com um número agregado depacotes, bytes e sessões entre elas, registrados como informações adicionais de fluxo.

Em qualquer empresa, o número de sessões que ocorrem em um dia varia muito. Osfluxos são unidades mais gerenciáveis e são importantes principalmente para definiçõesde políticas de microssegmentação.

Se alguém desejar ver estatísticas desses fluxos, como bytes transferidos, número desessões, ou até mesmo usar esses contadores junto com outras operações de consultapara outra análise de nível mais alto (como a determinação da distribuição de um fluxode saída de máquinas virtuais por IP de destino), os contadores de métrica a seguirpoderão ser usados:

Nomes de contador

allowed sessions: número de sessões (ou cinco tuplas) que correspondem a um fluxo(quatro tuplas)bytes: volume de tráfego total trocado no fluxo (essa soma de dois contadores descritaabaixo)src bytes: número total de bytes enviado por src_ip do fluxo para dst_ip:port:protocoldst bytes: número total de bytes recebidos por src_ip do fluxo de dst_ip:port:protocol

1. Clique no bloco de tráfego leste-oeste

Isso exibirá uma nova janela com análise detalhada do tráfego.

HOL-1829-01-NET


Leste-oeste (EW) - Visualização detalhada

Esses são apenas alguns dos 1.653 fluxos, mas os filtros e vistas detalhadas podem serusados para restringir informações mais específicas.

A - Sem clicar (apenas passe o mouse) na linha de tempo para ver a taxa de fluxoindicada pela linha verde para o período

1. Clique no ícone de fechar (x) para continuar.

HOL-1829-01-NET


Serviços/portas

Localização da tela Services/Ports para a próxima etapa

HOL-1829-01-NET


Serviços/portas - Visualização de linha do tempo

O planejamento da segurança faz uso da visão geral Service/Ports no lado direito datela. A tela da visualização de serviço é usada para observar o fluxo de cada serviço,analisando uma taxa de fluxo específica em dado período de tempo. As linhas de tempopodem ser ajustadas para obter uma melhor compreensão do que a consulta "plansecurity" fornece. Este módulo seguirá as etapas necessárias para observar e rastrearfluxos, utilizando como exemplo o fluxo para a porta 5443.

1. Clique em Show Data.

HOL-1829-01-NET


Serviços/portas - Serviço num dado período de tempo

A seção Services oferece uma visão geral dos fluxos por uma porta específica em umperíodo de tempo, por bytes ou por sessões permitidas. Observe a área destacadaem vermelho para compreender como o fluxo é visualizado em um formato dinâmico,assim garantindo que uma taxa de fluxo possa ser fornecido ao passar o mouse sobreuma determinada seção.

1. Passe o mouse para ressaltar o bloco azul sobre a porta 5443 e observeque ele apresenta, sob demanda, a soma total para as últimas 24 horasdos fluxos em gigabytes (GB) que se comunicam pela porta 5443

2. Clique no bloco na interseção de "Last 24 hours" e "PORTS 5443" paraobter uma visualização detalhada das informações

HOL-1829-01-NET


Fluxos para a porta 5443

Com a visualização "Fluxo pela porta 5443 nas últimas 24 horas", vemosdetalhadamente a distribuição de 20 fluxos listados por entidade. Você pode rolar parabaixo e examinar o tráfego detalhado. Mais filtros podem ser usados no lado esquerdoda tela para visualizar um tipo de resultado mais específico.

1. Clique na entrada para examinar o fluxo detalhado entre Prod-DB-3 e Prod-DB-2 pela porta 5443 (a ordem dos fluxos pode ser diferente da exibida na telaacima. Prod-DB-3 e Prod-DB-2 pode ser a sétima entrada)

HOL-1829-01-NET


Flow Key Properties: visualização da linha do tempo

"Flow Key Properties" e "Flow Key Metrics", com a ajuda da linha do tempo, oferecemuma maior compreensão do tráfego entre essas duas VMs específicas pela porta 5443.(A) - Passe o mouse sobre qualquer parte do gráfico Flow Key Metrics para ver asestatísticas do fluxo em um ponto específico do tempo.

1. Clique em 1M (último 1 mês). Agora passe o mouse sobre as linhas verdes/azuispara ver um fluxo específico em dado período de tempo.

HOL-1829-01-NET


Flow Key Properties: visualização da linha do tempo

1. Clique uma vez no botão voltar do navegador para retornar à tela plansecurity layout (depois de concluir a visualização das linhas do tempo parafluxos específicos).

HOL-1829-01-NET


Microssegmentos

A tela deve estar de volta e com foco na visualização Plan Security. Vamos nosconcentrar no lado esquerdo da tela plan security marcada como Micro-Segments.Esta seção se concentra na visualização de subnets e em como elas podem ser usadaspara rastrear fluxos entre dois ou vários pontos.

Observação: Os fluxos de segmentação podem ser acessados usando visualizaçõesque se concentrarão em VLAN/VXLAN, subnet, pasta, clusters, VMs, portas, tagde segurança ou grupos de segurança.

1. Selecione Last 1 Day (para limpar o intervalo de dados anterior)2. Selecione o menu e, em seguida, selecione by Subnet.3. Podemos analisar mais detalhadamente os microssegmentos por grupos

secundários (essa etapa é apenas para informação)4. Clique em Analyze para que os dados sejam preenchidos

HOL-1829-01-NET


Foco na rede 10.17.8.0

A - Passe o mouse (não clique) sobre a rede 10.17.8.0 e observe que eladestacará imediatamente todos os fluxos e sessões com origem ou destino nessesegmento de rede. Outros tipos de tráfego perderão o foco neste ponto assumindo a corazul-clara.

A visualização "Keep Focus" cria um diagrama mostrando a comunicação com recursosfísicos compartilhados, a Internet e outras sub-redes. Os parênteses após a redeindicarão o número de máquinas virtuais. As linhas coloridas indicarão um fluxoconectado como OUTGOING/INCOMING/BIDIRECTIONAL

HOL-1829-01-NET


Foco: VLAN/VXLAN

Para rastrear fluxos entre Prod-Web e Prod-Midtier, vamos trocar a visualização porSubnet para a por VLAN/VXLAN. Isso exibirá o fluxo do tráfego e nos mostrará as regrasde firewall recomendadas.

1. No filtro, selecione a opção VLAN/VXLAN (a visualização será atualizadaautomaticamente).

HOL-1829-01-NET


Foco: Prod-Web (25)

1. Passe o mouse sobre Prod-Web2. Clique em Keep Focus, pois seguiremos o tráfego desse grupo para ver quais

portas estão em uso e por quê.3. Clique na linha que une o Prod-Web e o Prod-Midtier.

HOL-1829-01-NET


Fluxos: Prod-Web a Prod-Midtier

(A) - Neste ponto já identificamos 14 endpoints ou fluxos exclusivos que estãotrafegando por ou para grupos de segurança potenciais. Esses grupos de segurança sãobaseados em VLANs, pastas, sub-redes ou uma estrutura que pode ser definida ecustomizada.

1. Clique nas regras de firewall recomendadas.

Fluxos: regras de firewall recomendadas

Com base na análise observada do fluxo do tráfego entre Prod-Web e Prod-Midtier, umaregra de firewall recomendada foi gerada para proteger e segmentar o tráfego dorestante da VLAN/VXLAN.

HOL-1829-01-NET


Devido às métricas de observação de fluxo, a recomendação é (ALLOWED) na porta8080 entre SG Prod-Web e SG-Prod-Midtier.

1. Clique em fechar (x) para continuar.

Várias portas e regras de firewall para Prod-web

1. Clique no grupo Prod-Web.

Serviços e fluxos para Prod-Web

No foco, são apresentados aos usuários todos os serviços, fluxos e regras de firewallpara Prod-Web em um único painel.

1. Clique em Services In this group: 50 endpoints ou fluxos de serviço exclusivosque estão sendo trafegados por ou para grupos de segurança potenciais sãomapeados com taxas de tráfego incluídas.

HOL-1829-01-NET


2. Clique em External Services Accessed: essa é uma divisão dos 16 endpoints deserviço externos que se comunicam com o Prod-Web e incluem as informações deporta (DNS, HTTPS etc.).

3. Clique em Recommended Firewall Rules: com base nos 50 endpoints deserviço exclusivos, que têm 17 serviços externos com 425 fluxos, podemos usarmétricas para determinar quais regras de firewall são necessárias. Neste caso,temos a definição de 6 regras de firewall como a abordagem de segmentaçãomínima recomendada para o grupo Prod-Web.


Microssegmentação centrada no aplicativo

Um aplicativo é uma coleção de camadas. Cada uma é uma coleção de VMs baseadasno critério de filtro definido pelo usuário. Os aplicativos permitem que você crie um

HOL-1829-01-NET


grupo hierárquico de VMs e visualize tráfego/fluxos entre as camadas do mesmoaplicativo. O tráfego ou fluxos podem ser visualizados também entre aplicativos.

1. Em Micro-segments, clique no menu com o nome by VLAN/VXLAN2. Clique em "by Application"

1. Passe o mouse sobre Prod-App (47) (não clique neste estágio)2. Clique em Keep Focus

Você pode ver, de acordo com o mostrado no exercício anterior, os fluxos Outgoing,Incoming e Bidirectional personalizados para Prod-App. Quando você clica nomicrossegmento Prod-App, os serviços são revelados.

Exploraremos agora como podemos definir um aplicativo.

HOL-1829-01-NET


Definir um aplicativo

1. Na barra de pesquisa, digite Application2. Clique no botão Search

1. A pesquisa de aplicativos retornará quatro entidades, ou seja, aplicativos jácriados no sistema para você.

2. Essa página também permite que você crie um novo aplicativo. Clique em AddApplication

1. Em Application Name , digite HOL-Pre-Prod

HOL-1829-01-NET


2. Em Tier , digite o Nome como HOL-Pre-Prod3. Nosso critério de pesquisa será baseado em VM Names em Virtual Machines/

IP Addresses. Digite "Admin-VM1", "Admin-VM2" (a pesquisa preencheráautomaticamente os nomes para você)

4. Não salve, clique em Cancel, que levará você para a tela anterior

1. Nela, você poderá ver que o número de entidades aumentou em um; ou seja,cinco entidades.

2. Você poderá ver também Hol-Pre-Prod na lista.

HOL-Pre-Prod será exibido agora na seção Application em Plan Security (não abordadaneste laboratório)

Grupo de segurança "Prod_MidTier"

Os administradores e arquitetos de rede enfrentam desafios diários na identificação deparâmetros/grupos de segurança que estão em vigor, exigindo muito mais detalhessobre a topologia do contêiner antes de continuar a executar ou planejar amicrossegmentação. Vamos analisar como isso seria possível em uma visualizaçãoúnica que tem integração detalhada com redes de sobreposição e subposição.

1. Usando a barra de pesquisa, digite Nsx Security Group 'Prod_MidTier' (abarra de pesquisa usa preenchimento automático, e um texto previsto é exibidoenquanto você digita).

2. Clique em Search para continuar.

HOL-1829-01-NET


A tela Help pode aparecer (nesta configuração de laboratório) para garantir que ousuário tenha uma orientação instantânea, chamada Security Group Pinboard. O motivopara este guia é identificar a visualização de detalhes e o layout da topologia. Leia oguia de ajuda e, quando concluir:


Resultados: PROD_MIDTIER

Os resultados da consulta exibirão Prod_Web na parte superior da tela. O resultadoexibido também incluirá Translated VM Count e todas as regras associadas

1. Clique em Prod_MidTier para continuar.

HOL-1829-01-NET


Grupo de segurança Prod_MidTier: linha do tempo

Explicação da visualização do grupo de segurança

O Grupo de segurança oferece uma visualização detalhada do mesmo e uma listagemabrangente de propriedades e eventos importantes. A Topologia oferece uma visãogeral visual de como o grupo de segurança está associado aos outros contêineres. Ocontrole deslizante Timeline na parte superior da vista atual permitirá que o estadonum determinado período do tempo do grupo de segurança e dos filtros possa serusado para um foco maior em um aspecto determinado do objeto.

HOL-1829-01-NET


Topologia de firewall do grupo de segurança

(A) A Topologia de firewall do grupo de segurança à esquerda exibe a topologia dogrupo "Prod_MidTier"

(B) A Topologia de contêiner do grupo de segurança à direita mostra todo equalquer grupo filho e pai em relação a Prod_Web. Isso identificará o aninhamento e ahierarquia dos grupos de segurança.

HOL-1829-01-NET


1. Clique e selecione Prod_Web to Prod_Midtier Rule (será aberta uma tela pop-up, abordada na próxima etapa)

HOL-1829-01-NET


1. Na tela pop-up, podemos ver imediatamente a aparência do fluxo de serviço deorigem e de destino nesse exemplo. Isso pode ser feito para todo e qualquersegmento anexado a Prod_Web e fornecerá todas as informações de Topologia defirewall do grupo de segurança atual. Você pode clicar em todos os segmentospara compreender completamente cada grupo de segurança relacionado.

2. Clique em fechar (x) em qualquer menu pop-up que você tenha aberto durantea análise para seguir para o próximo exercício.

HOL-1829-01-NET


Rastreamento de Prod_MidTier

1. Na mesma visualização, quando você rola para baixo (abaixo da Topologiade firewall), é possível ver as seguintes informações de evento de segurança paraProd_Web:

A: Events: mostram qualquer alteração em Prod_MidTier (direta ou indireta) e oimpacto que elas geram nesse grupo de segurança

B: Security Group Configuration e o Firewall Rules Count também fornecem maisassistência para gerenciar os endpoints.

C: VMs in Security Group garante visibilidade para que gerenciemos nossas cargasde trabalho e a segmentação com o nível correto de eficiência.

HOL-1829-01-NET


D: Indirect Firewall Rules garantirá que você compreenda o impacto herdado e ocomunicações que terminam no Prod_Web.

E: Direct Firewall Rules - OBSERVAÇÃO: Os links azuis exibirão detalhes adicionaisde cada segmento de firewall.

Este módulo explicou o fluxo do tráfego entre sub-redes e ou VLAN/VXLAN paraProd_MidTier e compreendemos a análise que compõe as regras de firewall. Asinformações de uma segmentação específica de uma máquina virtual em Prod_MidTierpodem ser visualizadas usando as informações de switch lógico para Prod_MidTier.

1. Clique em Lab-Midtier (VMs em Security Group>Logical Switches>Lab-Midtier);uma nova GUIA se abrirá na parte superior da tela.

Lab-Midtier

HOL-1829-01-NET


1. Passe o mouse (não clique) sobre (1) Prod-Web-9, com o foco neste objeto,o caminho de comunicação é gerado.

Este é o fluxo completo do Prod-Web-9 (exemplo), é possível visualizar como um fluxo érastreado da sobreposição para a subposição no Prod-Web.

Não clique em nenhuma das bolhas, pois elas são usadas somente para referência.

• A - Os detalhes do host para Lab-Midtier-1 -ddc1-pod2esx035.dm.democompany.net

• B - O nome da máquina no Lab-Midtier - Lab-Midtier-1• C - Grupo de portas virtuais distribuídas - DVPG• D - VXLAN - Lab-Midtier• E - Primeiro VMKNIC para host DDC-1• F - Porta de switch DVS• G - Switch DVS• H - Por fim, exibindo a conexão L3 com o Arista em 10.254.146.132-MGMT

1. Quando terminar com a visualização atual, feche esta guia no Chrome eretorne para a visualização original.

Regra de firewall: rastreamento

Usando a barra de pesquisa, demostraremos como você pode rastrear qualquer regrade firewall em seu ambiente. Este é apenas um exemplo de como podemos procurarobjetos relacionados à segurança com uma pesquisa simples e também exportar osresultados obtidos.

Pesquisa de porta

1. Digite na barra de pesquisa

Firewall rule where action ='ALLOW' and Port=443 (a barra de pesquisa usa preenchimentoautomático, e um texto previsto é exibido enquanto você digita).

HOL-1829-01-NET


1. Clique em Search para continuar.

À medida que digitar, observe as diferentes combinações de consultas que podem seragrupadas.

Exportação de regras de firewall

Reserve um tempo para compreender e se familiarizar com as possibilidades destabusca e os insights que ela oferece.

1. Não clique - O resultado é agrupado para conveniência e permite que o usuárioconsulte cada regra individualmente. Esse é um link ao vivo que exibiráinformações adicionais.

2. Não clique - O relatório inteiro pode ser exportado usando a opção Save as CSVno canto superior direito da tela, mas não exportaremos nenhuma informaçãoneste ponto.

3. Para a próxima etapa, retornaremos à barra de pesquisa superior.

HOL-1829-01-NET


Alteração de associação da regra de firewall

Usando a barra de pesquisa do vRealize Network Insight, na parte superior da tela,vamos nos concentrar em uma busca baseada em tempo para ver que alterações deassociação no firewall ocorreram durante um período selecionado. Isso indicaráqualquer alteração feita de forma direta ou indireta como resultado das alterações deassociação. Isso é extremamente útil para auditoria e solução de problemas.

1. Tipo

Alteração de associação da regra de firewall

1. Selecione a janela Date/Time.2. Clique em Presets. Selecione Last 30 Days (o uso de dados estáticos garantirá

que você veja todas as alterações).3. Clique em Search.

HOL-1829-01-NET


Regra de auditoria: alterações de associação de regra defirewall

Agora, a pesquisa exibe o resultado de todas as alterações feitas na associação de regrade firewall durante o intervalo de datas predefinido. Isso é crucial para processos derastreamento e de auditoria de alterações para compreender exatamente por que,quando e como as regras de firewall foram alteradas.

Agora, é fácil fazer o rastreamento e a auditoria das alterações, além de exportá-las,seguindo qualquer dos links ao vivo em azul.

HOL-1829-01-NET


Evento definido pelo usuário

Continuando na mesma tela, os usuários podem criar alertas para notificar entidadesinternas e externas sobre qualquer alteração. O recurso de alerta está disponível pormeio de qualquer visualização que exiba o ícone de alerta. Embora o alerta possa serconfigurado para esse laboratório, não haverá ação referente aos resultados pois osdados são estáticos. Esta seção mostrará como é fácil relatar qualquer alteração deassociação de regra de firewall. A opção para alerta estará disponível imediatamente,dentro de uma hora ou como uma seleção diária.

1. Clique no ícone Notifications para criar um evento. A tela de notificações seráexibida.

2. A notificação e os parâmetros podem ser ajustados conforme necessário.Preencha-os com suas preferências, pois precisaremos de informações a fim desalvar o alerta e visualizá-lo em etapas posteriores.

3. Depois de terminar, clique em Save.

HOL-1829-01-NET


Configurações

Você pode visualizar qualquer dos seus eventos definidos pelo usuário configuradosanteriormente para editar ou ativar os parâmetros do evento usando a página deconfigurações. As alterações feitas podem ser configuradas para notificar os membrosdo grupo de eventos com base na preferência do usuário. O evento que você criouanteriormente pode agora ser rastreado usando a barra de pesquisa na parte superiorda tela.

1. Clique na barra de pesquisa e digite Settings.2. Clique em User-defined Events (seu alerta é observado nesta seção pois

baseou-se na pesquisa original e na notificação de alerta "Firewall rulemembership change").

3. Somente para informações - Não clique - Visualizar/Editar/Ativar qualquernotificação.

Observe que temos dois tipos de notificações: User-defined e System Events.

4. Clique em System Events.

HOL-1829-01-NET


Notificações do sistema

Os eventos do sistema consistem em 103 alertas padrão pré-configurados. Role a listapara baixo para ver todas as opções e o que é considerada uma notificação de eventode sistema padrão.

Cada notificação pode ser usada para alertar administradores ou usuários do grupo. Porpadrão, todas as Notificações do sistema são definidas como nunca notificar (isso podeser alterado para imediatamente, dentro de uma hora ou como uma seleção diária).

Com isso, concluímos este módulo. Siga para o próximo módulo.

HOL-1829-01-NET


ConclusãoParabéns por concluir o Módulo 1.

Neste módulo, apresentamos as etapas mínimas necessárias para facilitar aMicrossegmentação. Este módulo demostrou como atingimos a prontidão de dia zero,rastreamento, relatório e alerta em cada objeto individual ou grupo de objetos emtempo real. Usando o tráfego leste-oeste neste módulo, o vRealize Network Insightdestacou a facilidade de adquirir análise de rede e usar isso para gerar regras defirewall automaticamente para implantações novas e existentes.

Principais fatos a ser lembrados conforme demonstrado neste módulo:

• Persistência: diante de mudanças constantes, a segurança deve ser consistente• Onipresença: a segurança deve estar disponível em todos os lugares• Extensibilidade: a segurança deve se adaptar a novas situações

Para obter informações adicionais sobre a funcionalidade demonstrada neste módulo,acesse www.vmware.com

Feche o navegador Chrome.

Com isso, este módulo está concluído; siga para o próximo.

Para obter mais informações

Como encerrar o laboratório

Para encerrar o laboratório, clique no botão END ou em um módulo da lista acima paracontinuar.

HOL-1829-01-NET


http://tinyurl.com/hdtaz6m

Módulo 2: Visibilidadecompleta de redes

virtuais e físicas (45minutos)

HOL-1829-01-NET


IntroduçãoO vRealize Network Insight inclui técnicas de análise avançadas que podem sercoletadas e dados de configuração de exibição de todos os componentes envolvidos nasobreposição e na subposição da rede. Os dados são coletados em tempo real.

O vRealize Network Insight apresenta isso por meio de uma interface de usuáriointeligente e simplifica a determinação dos problemas, bem como a visibilidade dasconfigurações de firewall e rede.


• Total visibilidade e solução de problemas de rede• Pesquisa de linguagem simples

HOL-1829-01-NET


Total visibilidade e solução deproblemas de redeEsta seção contém as seguintes lições:

• Visualização completa do fluxo de dados entre dois objetos de VM• Pesquisa de linguagem simples




Selecione o favorito vRealize Network Insight

1. Selecione o atalho vRNI na barra de favoritos (se o vRealize NetworkInsight não carregar automaticamente).

HOL-1829-01-NET



Faça login no portal.

1. Nome de usuário: [email protected]. Senha: VMware1!3. Clique em Login para continuar.

Caminho e topologia

Este módulo utilizará o recurso "Path and Topology" no vRealize Network Insight paraobter uma visibilidade completa de seu cenário de rede próprio. A visualização "Pathand Topology" pode também ter suporte estendido para hosts, redes L3, grupos desegurança etc., mas neste módulo só nos concentraremos no caminho (Path).

HOL-1829-01-NET


No console principal:

1. Clique em "Path and Topology".2. Clique em "Path".

Path: selecione origem e destino

Na caixa pop-up:

1. Clique no campo cinza abaixo de "Source".2. Digite "dba" no campo de origem, e "DBAdmin-VM1" será exibido.3. Clique em "DBAdmin-VM1" para selecioná-lo.

HOL-1829-01-NET


Path: continuação de origem e destino

Após selecionar a máquina de origem, a caixa de destino será exibidaautomaticamente.

1. Digite "prod" no campo de destino, e a lista de opções disponíveis seráexibida.

2. Selecione "Prod-Db-2".

Observação: O destino pode também ser um endereço IP ou a Internet, mas nestelaboratório vamos usar uma VM.

HOL-1829-01-NET


Path: continuação de origem e destino

1. Clique em Submit.

Procura do caminho

Com base nas VMs que selecionamos no assistente nas etapas anteriores, o campo depesquisa agora é preenchido com uma string de pesquisa. Como alternativa ao uso doassistente, podemos também fazer pesquisas manuais.

Não altere nenhum parâmetro no campo de pesquisa e siga para a próxima etapa.

HOL-1829-01-NET


VM Path Topology e VM Underlay

A topologia envolve os componentes da Camada 3 e da Camada 2 e consiste em duasvisualizações detalhadas.

1. VM Path Topology: esta visualização detalha os roteadores, as bordas ou osroteadores de distribuição lógica (LDRs, Logical Distributed Routers) que estãoenvolvidos no caminho de rede de VM para VM e fornece o roteamento completoe as informações de NAT

2. VM Underlay: (a seção VM Underlay, que fica no lado direito da topologia decaminho da VM, mostra as informações de subposição das VMs envolvidas e a

HOL-1829-01-NET


conectividade delas com a parte superior dos switches de suporte e das portasenvolvidas)

No campo com o nome "VM Path Topology":

1. Clique nos três pontos no canto superior esquerdo do campo.2. Clique em Maximize.

A visualização será alterada, e a rota será desenhada no mapa.

HOL-1829-01-NET


Topologia de caminho da VM: Path Details

Nesta visualização, teremos uma visão completa da rede física e virtual. Veremos ocaminho do tráfego entre duas máquinas virtuais. A seta preta na parte superior domapa indica a direção do fluxo do tráfego. Neste caso de uso de "DBAdmin-VM1" para"Prod-Db-2".

No lado direito, os detalhes do caminho indicam as etapas pelas quais passamos emcada salto do caminho. O fluxo lógico inclui elementos físicos e virtuais, exibindo oscomponentes de sobreposição e subposição.

1. Role pelos detalhes do caminho no lado direito para verificar os diferentessaltos no caminho. Observe que temos itens como VMs, switches físicos, switchesvirtuais, roteadores e NICs na lista de detalhes.

HOL-1829-01-NET


Visão geral dos componentes

No mapa de topologia da VM:

1. Clique no ícone superior esquerdo marcado com um quadrado vermelho:a máquina virtual "DBAdmin-VM1".

HOL-1829-01-NET


Máquina virtual: detalhes

Uma caixa pop-up será exibida com os detalhes da máquina virtual. Essas informaçõesincluem muitos detalhes disponibilizados por VMware Tools. Por exemplo, podemos veras informações de rede e o host físico nesses detalhes.

A - Dedique algum tempo para obter uma visão geral das informações disponíveis.

B - Observe que o status do firewall indica "Unknown". Neste cenário, não há firewall doNSX utilizado na VM, por isso o vRealize Network Insight exibe "Unknown" como status.Se forem utilizados componentes do NSX, mas houver mal funcionamento, umamensagem de erro será exibida.

1. Ao terminar a análise, feche as janelas pop-up clicando no (X) no canto superiordireito.

HOL-1829-01-NET


Hosts ESXi físicos

Agora, analisaremos o host físico que executa o ESXi. Os blocos verdes grandes indicamos hosts ESXi (A) e (B)

1. Clique no campo verde grande no lado esquerdo do mapa (marcado naimagem com um quadrado vermelho). Isso selecionará o host no qual "DBAdmin-VM1" está em execução.

HOL-1829-01-NET


Host: detalhes

Uma caixa pop-up que contém o host ESXi físico será exibida.

A - Dedique algum tempo para analisar quais informações estão disponíveis sobre ohost. Não clique em nenhum dos links.

B - Observe que recebemos informações do Chassis e da Blade nos quais esse host ESXiestá sendo executado. Em um ambiente real, poderíamos clicar nos links para obterinformações detalhadas sobre o ambiente físico.

C - Observe que não há componentes do NSX no host. Por exemplo, podemos ver que o"Control Plane Sync Status" é "unknown", e o "Number of VTEP's" é zero.

1. Ao terminar a análise, clique no (X) no canto superior direito.

HOL-1829-01-NET


DVPG no mapa

Vamos analisar o DVPG (Grupo de portas virtuais distribuídas) que a VM usa para seconectar à rede.

1. No mapa, clique na pequena caixa azul marcada por um quadradovermelho em vlan-629.

DVPG

HOL-1829-01-NET


Uma caixa pop-up que contém os detalhes do DVPG será exibida.

A - Dedique algum tempo para analisar quais informações do objeto estão disponíveis.Não clique em nenhum dos links.

B - Observe que IPFIX está ativado


VLAN-629 no mapa

Esta é uma rede existente, conforme indicado pelos componentes da rede físicaexibidos no mapa.

1. No mapa, clique na linha cinza marcada por um quadrado vermelho(vlan-629).

HOL-1829-01-NET


Rede VLAN

Uma caixa pop-up que contém os detalhes da VLAN será exibida.

A - Dedique algum tempo para analisar as informações disponíveis. Não clique emnenhum dos links.

B - Observe o VLAN ID. Essa é a VLAN real em uso.

C - VM Count informa 12. Este é o número de VMs localizadas nessa VLAN no ambienteinteiro.

D - Em Hosts podemos ver que são 28 (27+1). Essa é a quantidade de hosts que têmuma conexão com essa VLAN no ambiente inteiro.


HOL-1829-01-NET


Portas de switch no mapa

1. No mapa, clique no ícone marcado com um quadrado vermelho paraselecionar a porta de switch da VM.

Porta de switch

Uma caixa pop-up que contém os detalhes da Porta de switch será exibida.

HOL-1829-01-NET


Nessa visualização, estamos apenas analisando a camada 3 e a conectividade com osdispositivos da camada 3. Posteriormente neste módulo, veremos alguns dosdispositivos de camada 2.

A - Dedique um tempo para analisar quais informações estão disponíveis. Não cliqueem nenhum dos links.

B - Nesta visualização, podemos ver a NIC física de onde o tráfego está sendotransmitido e recebido. Neste cenário, é uma NIC em um malha do UCS. Podemostambém ver as VLANs, a velocidade da interface, a porta e outros detalhes da NIC.

1. Ao terminar a análise, clique no (X) no canto superior direito da caixa pop-up.

VRF físico no mapa

1. No mapa, clique no ícone marcado com um quadrado vermelho paraacessar os detalhes do VRF físico.

HOL-1829-01-NET


VRF: switch físico

Uma caixa pop-up que contém os detalhes do VRF físico será exibida.


B - Neste cenário, o primeiro salto na perspectiva da rede física é um Cisco Nexus 7000.Estamos coletando todos os dados de configuração, as tabelas de roteamento e asinformações da interface de roteamento desse dispositivo.


HOL-1829-01-NET


VRF: continuação

1. No mapa, clique no ícone marcado com um quadrado vermelho paraacessar o próximo VRF físico do caminho.

HOL-1829-01-NET


VRF: roteador físico

HOL-1829-01-NET


Um pop-up que contém os detalhes do VRF físico será exibida.

Neste cenário, o segundo salto na perspectiva da rede física é um roteador Palo Alto(PA-5060). Nesta visualização, veremos a tabela de roteamento, bem como regras defirewall. A plataforma vRealize Network Insight é tão avançada que essas regras defirewall são as aplicáveis entre os dois objetos que procuramos. Provavelmente, haverámilhares de regras de firewall em uma rede normal, mas essas são as que afetam acomunicação entre as duas VMs selecionadas.

A - Dedique algum tempo para analisar quais informações estão disponíveis. Nãoclique em nenhum dos links.


Observação: A integração do Palo Alto demonstrada está em beta nomomento de criação deste laboratório.

VRF: continuação

1. No mapa, clique no ícone marcado com um quadrado vermelho paraacessar o próximo VRF físico do caminho.

HOL-1829-01-NET


VRF: switch físico

Um pop-up que contém os detalhes do VRF físico será exibida.

HOL-1829-01-NET



B - Neste cenário, o terceiro salto na perspectiva da rede física é um dispositivo Arista.Há informações disponíveis sobre roteamento, gateways, interfaces etc. Esses detalhesdemonstram que podemos monitorar dispositivos de uma diversidade de fornecedores,caso estejamos trocando de um fornecedor para o outro.


Acesso à infraestrutura virtual

As próximas duas etapas do caminho (conforme mostrado pelas setas) são iguais àsanalisadas anteriormente neste módulo. Não vamos examinar os detalhes delas nestecenário, pois são similares aos já discutidos anteriormente.

A - Passe/mova o mouse sobre os ícones marcados com a seta vermelha A sem clicar noícone. Observe o nome descritivo.

B - Passe/mova o mouse sobre os ícones marcados com a seta vermelha B sem clicar noícone. Observe o nome descritivo.

HOL-1829-01-NET


1. No mapa, clique no ícone marcado com um quadrado vermelho paraacessar o próximo VRF do caminho.

VRF - Provider Edge 1 do NSX

HOL-1829-01-NET


Uma caixa pop-up que contém os detalhes do VRF será exibida.


B - Os componentes que estamos analisando após o dispositivo Arista (descrito emetapas anteriores) é um cluster do NSX Edge ou um host associado com um cluster doEdge. O componente que selecionamos é a VM do NSX Edge com o nome Provider-Edge1. Ele tem um uplink pela VLAN 10 da rede física (conforme mostrado no mapa).

C - Nos detalhes, podemos ver os detalhes da tabela de roteamento e da interface deroteamento para esse VRF específico.


VXLAN no mapa

1. No mapa, clique na linha azul marcada por um quadrado vermelho paraacessar os detalhes da VXLAN.

HOL-1829-01-NET


Rede VXLAN

Uma caixa pop-up que contém os detalhes da VXLAN será exibida.

A - Dedique algum tempo para analisar quais informações estão disponíveis no objeto.Não clique em nenhum dos links.

B - Podemos ver o número da VXLAN (Segment ID), Underlay VLAN IDs, Subnet eUnderlay Subnet

C - Também temos visibilidade do que o Controlador principal está utilizando, dos hostse VTEPs.

D - Passe/mova o cursor do mouse sobre o texto [38 more] para ver os hostsassociados a essa VXLAN. Não clique no texto em azul.

D - Passe/mova o cursor do mouse sobre o texto [82 more] para ver os VTEPsassociados a essa VXLAN. Não clique no texto em azul.

1. Ao terminar a análise, clique no X no canto superior direito da caixa pop-up.

HOL-1829-01-NET


VRF: LDR

1. No mapa, clique no ícone marcado com um quadrado vermelho paraacessar os detalhes do VRF.

HOL-1829-01-NET


VRF: LDR-corporativo

Uma caixa pop-up que contém os detalhes do VRF será exibida. Nela, acessamos nossarede do kernel.

HOL-1829-01-NET



B - Observe o nome do roteador distribuído. Estamos usando esse dispositivo paraacessar nossa rede corporativa.

C - Este dispositivo fará o roteamento para uma interface diferente. A interface rotearápara a interface na rede Prod-DB como a próxima etapa no caminho (isso será ilustradona próxima etapa).


Roteamento: firewall do NSX

O tráfego é roteado por meio do VRF para a rede Prod-DB até chegar ao próximo hostfísico (conforme mostrado com as setas).

O primeiro dispositivo a que chegará na rede virtual no host físico é o firewall. Observeque há dois firewalls ao lado da VM. Um firewall da Palo Alto e um firewall do NSX.

1. No mapa, clique no ícone marcado por um quadrado vermelho paraacessar detalhes do Firewall do NSX (o de cima).

HOL-1829-01-NET


Firewall: NSX

Uma caixa pop-up que contém os detalhes do Firewall será exibida.



HOL-1829-01-NET


Redirecionamento no mapa: firewall da PAN

Observe que há dois firewalls ao lado da VM. Um firewall da Palo Alto e um firewall doNSX. Agora vamos olhar os detalhes do firewall de baixo.

1. No mapa, clique no ícone marcado por um quadrado vermelho paraacessar detalhes do Firewall da Palo Alto (o desenho de baixo).

Firewall: PAN

HOL-1829-01-NET


Neste cenário, temos um firewall de transferência baseado em uma VM de Palo Alto. Orecurso de redirecionamento permite que as regras de firewall sejam transferidas entreo firewall do NSX e o firewall da PAN.


Reversão da análise

1. Na seção marcada por um quadrado vermelho na imagem , clique na seta queaponta para a esquerda.

A rota no mapa será alterada.

HOL-1829-01-NET


Continuação da reversão da análise

A - A análise será feita agora na direção oposta. Observe que o caminho agora éalterado. Em vez de passar por Provider-Edge 3, o tráfego é agora roteado por meiode Provider-Edge 2. É exatamente assim que o tráfego funcionará na vida real.

Siga para a próxima etapa para concluir este módulo.

HOL-1829-01-NET


VM Underlay

Agora vamos concentrar em VM Underlay.

1. A seção VM Underlay, que fica no lado direito da topologia de caminho da VM,mostra as informações de subposição das VMs envolvidas e sua conectividadecom a parte superior dos switches de suporte e das portas envolvidas.

2. A topologia do caminho de subposição da VM é mostrada aqui.3. Os componentes são rotulados em Path Details

HOL-1829-01-NET


HOL-1829-01-NET


1. Nesta seção, a lista suspensa na parte superior mostra as VMs do endpoint e asVMs ativas nas bordas.

2. Para cada VM do Edge, a lista suspensa vizinha mostra os endereços IP dainterface de entrada e de saída.

1. Na etapa anterior, selecionamos a Máquina virtual Prod-DB-22. Ela altera o foco para o Endereço IP da interface (VNIC) correspondente3. Mostra o mapa visual (Topologia de caminho) de todos os objetos do caminho4. Os detalhes do caminho mostram os rótulos e listam os componentes.


HOL-1829-01-NET



Este módulo nos mostrou que o vRealize Network Insight é capaz de rastrear o fluxo dedados entre dois objetos em toda a rede. O vRealize Network Insight nos fornece umavisualização total do virtual, bem como os componentes virtuais no caminho. Com afunção do mapa e os detalhes contidos nele, é muito fácil obter uma visão geral doscomponentes utilizados na comunicação de rede.

Todos os componentes do mapa se baseiam em um snapshot de dados da vida real.Você pode clicar em outros ícones mostrados no mapa deste módulo antes de continuarpara o próximo módulo e olhar os outros componentes.

HOL-1829-01-NET



Para obter informações adicionais sobre a funcionalidade demonstrada neste módulo,visite http://www.vmware.com/vrealizenetwork insight.


Se você está procurando informações adicionais, experimente uma destas opções:

• Clique neste link• Se preferir, use seu dispositivo inteligente para fazer a leitura do código QRC.

Continue em qualquer módulo abaixo que seja do seu interesse.

• Módulo 1: Microssegmentação e segurança (30 minutos)• Módulo 2: Visibilidade completa de redes virtuais e físicas (45 minutos)• Módulo 3: Gerenciamento e operações avançados do NSX (45 minutos)• (30 minutos)



HOL-1829-01-NET


http://www.vmware.com/vrealizenetworkinsighthttps://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

Módulo 3: Gerenciamentoe operações avançados

do NSX (45 minutos)

HOL-1829-01-NET


IntroduçãoIntrodução

O vRealize Network Insight garante que tenhamos visibilidade completa de umaperspectiva de sobreposição e subposição. O foco deste módulos são as operaçõesavançadas do NSX com o vRealize Network Insight. É importante observar que ovRealize Network Insight oferece uma visualização em tempo real e umavisualização histórica. A integração não é apenas uma simples consulta SNMP, masinformações avançadas de interface de linha de comando e metadados coletadas emtempo real para o NSX.


• Orientação operacional para o NSX Manager.• Simulação interativa de gerenciamento e operações avançados do NSX.

HOL-1829-01-NET


Operações de gerenciamento avançadodo NSXVerificação de status do laboratório


Feche as sessões de navegador de módulos anteriores.




HOL-1829-01-NET



1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insightnão carregar automaticamente)




HOL-1829-01-NET



Barra de pesquisa: NSX Manager

Uso da barra de pesquisa na tela de entrada

1. Digite NSX Manager (isso listará três NSX Managers)2. Clique em Search.

Informações do NSX Manager

O resultado agora mostra o NSX Manager (10.16.128.170) e podemos verimediatamente que temos 50 problemas associados a esse endpoint.

1. Clique no endereço do NSX Manager para exibir o layout e as informaçõesdetalhadas.

HOL-1829-01-NET


Linha do tempo: construção visual

Somente explore as informações - Não clique

• A - Começando com Timeline podemos manipular os resultados simplesmentearrastando o controle deslizante, mas por padrão os resultados atuais serãoexibidos na entrada. O controle deslizante e o menu suspenso (próximo a 1 day)facilitam a filtragem sob demanda.

• B - As Properties oferecem uma compreensão clara da configuração atual dosNSX Managers (o vRealize Network Insight acomoda vários NSX Managers)

• C - Analisando as NSX Checklist Rules - ALL, podemos rolar para baixo e paracima para visualizar cada ponto da lista de verificação que é usado paramonitorar/validar o NSX Manager.

HOL-1829-01-NET


• D - Como o vRealize Network Insight oferece suporte a vários NSX Managers evários NSX Controllers, esse é um entendimento visual importante da Topologia.Cada objeto pode ser consultado individualmente na mesma tela.

• E - NSX Problems serão fundamentais para compreender os problemas do NSX.

Topologia: foco no NSX Controller

A visualização lógica da Topologia do NSX fornece links ao vivo para que cadacomponente na estrutura seja consultado em tempo real. O layout da topologia exibetodos os serviços NSX relacionados vinculados ao NSX Manager, incluindo clusters ehosts. O triângulo vermelho em todos os três controladores do NSX indica problemasque podem afetar o ambiente do NSX como um ponto de partida ou um resultado.Agora, podemos consultar cada objeto em busca de informações detalhadas

1. Clique no controlador do NSX (analise cada controlador até descobrir ocontrolador que começa com NSX_Controller_5b6c6c8d-4d71..... pois elesmudam de ordem).

HOL-1829-01-NET


NSX Controller: detalhe

A - A consulta do controlador exibe informações detalhadas sobre o controller-1 e aconfiguração relevante. Essa tela ajudará a identificar o status, a versão, adisponibilidade de upgrade e muitos outros identificadores essenciais do NSX Controllerem uma visualização imediata incluindo qualquer problema.

B - O problema imediato desse controlador do NSX também é indicado com umtriângulo vermelho que sinaliza que temos um problema de sinalização de camada decontrole. O controle do problema pode ser investigado mais a fundo expandindo(clicando no triângulo vermelho) para visualizar informações detalhadas. Nãoinvestigaremos esse problema detalhadamente neste exercício.

1. Clique no ícone de fechamento (x) para continuar.

HOL-1829-01-NET


Topologia: explicação

Observação: A topologia do ambiente do NSX não exibirá nenhuma informação dedispositivo de balanceamento nesta versão.

1. Clique no ícone Edge VMs para ver informações detalhadas sobre os serviçosde borda.

HOL-1829-01-NET


Provedor Edge

Com a renderização de uma visualização completa dos serviços de borda do fornecedore das associações podemos investigar todas as atividades relacionadas à borda.

1. Clique no link em azul Provider Edge 4. O ícone do problema pode ser usadopara obter informações adicionais sobre o Provider-Edge 4. Isso destacará umacondição crítica devido a uma possível interrupção de rede desse dispositivo derede, pois ele não está mais em um estado funcional.

HOL-1829-01-NET


Provedor de roteadores Edge 4

Esta seção descreve a análise de causa raiz detalhada para o Edge 4

HOL-1829-01-NET


Retorno para a visualização de pesquisa: NSX Manager

1. Agora, use o botão Voltar do Chrome, clique uma vez para retornar para aetapa da tela de informações do NSX Manager.

Problemas de infraestrutura - Warning/Moderate

• Role para baixo até a seção "Infrastructure Problems".

1. Clique em Warning/Moderate para visualizar áreas com problemas.

HOL-1829-01-NET


Problemas do tipo Aviso/moderar

1. Use o ícone azul + para expandir a visualização detalhada da "Logical networkingout of sync between host and NSX Controller".

Problemas do tipo Aviso/moderar (continuação)

HOL-1829-01-NET


Ao expandir os detalhes, você pode analisar os detalhes completos do aviso.

Nesta visualização, o vRealize Network Insight também está mostrando recomendaçõessobre como você resolveria esse problema, o que facilita muito a solução de problemase a análise de causa raiz.


HOL-1829-01-NET


Simulação interativa dos laboratóriospráticos: gerenciamento e operaçõesavançados do NSXEsta parte do laboratório é apresentada como uma Simulação interativa doslaboratórios práticos. Com isso, você poderá praticar as etapas. Elas consistem emum processo longo ou que exige muitos recursos para ser feito em tempo real noambiente do laboratório. Nesta simulação, você poderá usar a interface do softwarecomo se estivesse interagindo em um ambiente real.

1. Clique aqui para abrir a simulação interativa.Ela será aberta em uma nova janelaou guia do navegador.

2. Ao concluir, clique no link "Return to the lab" para continuar este laboratório.

HOL-1829-01-NET


http://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni-pt.htmhttp://docs.hol.vmware.com/hol-isim/HOL-2018/hol-1829-01-vrni.htm


Este módulo demonstrou o recurso de operações de gerenciamento avançadas dovRealize Network Insight. O vRealize Network Insight fornece uma análise detalhada doscomponentes virtuais e físicos associados ao NSX (subposição e sobreposição).


Se você está procurando informações adicionais, experimente uma destas opções:

• Clique neste link• Se preferir, use seu dispositivo inteligente para fazer a leitura do código QRC.

Continue em qualquer módulo abaixo que seja do seu interesse.

• Módulo 1: Microssegmentação e segurança (30 minutos)• Módulo 2: Visibilidade completa de redes virtuais e físicas (45 minutos)• Módulo 3: Gerenciamento e operações avançados do NSX (45 minutos)• Módulo 4: Gerenciamento da segurança para as nuvens públicas (AWS)

(30 minutos)



HOL-1829-01-NET


https://www.vmware.com/support/pubs/vrealize-network-insight-pubs.html

Módulo 4: Gerenciamentoda segurança para as

nuvens públicas (AWS)(30 minutos)

HOL-1829-01-NET


IntroduçãoA TI corporativa precisa de visibilidade do status de rede e segurança de suas cargas detrabalho, independentemente de se estão hospedadas no local ou na AWS. Emboramuitas cargas de trabalho de AWS sejam sandboxes para equipes de desenvolvimentode aplicativos (DevOps), é importante analisá-las. Cada vez mais, as cargas de trabalhoestão atendendo às necessidades essenciais de produção para muitas organizações. ATI corporativa deve estar pronta para determinar o melhor local, postura de segurança ealocação de largura de banda ao implantar cargas de trabalho. A disponibilidade dedetalhes de padrão de tráfego, análise de segurança e recomendações prontamentedisponíveis ajuda as organizações a tomar decisões de hospedagem ideais para atenderàs necessidades da empresa.

O vRealize Network Insight (vRNI) oferece suporte à nuvem pública Amazon WebServices (AWS). Os recursos de monitoramento de tráfego do vRNI fornecemvisibilidade das estruturas da AWS nativas como Virtual Private Clouds, VMs, grupos desegurança, regras de firewall e tags. O vRNI também analisa os fluxos de tráfego daAWS para fornecer segurança e visualizações de microssegmentação das cargas detrabalho da nuvem. Isso significa que você poderá planejar a microssegmentação ecompreender os padrões de tráfego usando os dados coletados de suas instâncias daAWS.


• Introdução ao Gerenciamento da segurança para as nuvens públicas (AWS)

HOL-1829-01-NET


public/cme-export/manualexport-hol-1829-01-net.zip_pdf_en/&lpos=apps_scodevmw : 17

Introdução ao Gerenciamento dasegurança para as nuvens públicas(AWS)Verificação de status do laboratório


Feche as sessões de navegador de módulos anteriores.




HOL-1829-01-NET



1. Selecione o atalho vRNI na barra de favoritos (se o vRealize Network Insightnão carregar automaticamente)




HOL-1829-01-NET



Configuração de AWS

Vamos analisar a configuração de VPC do AWS para a finalidade deste laboratório.

1. Temos uma instância no local do vRealize Network Insight gerenciando o AWS.2. Há dois VPCs: CRM e Common Services.3. O VPC CRM consiste em um aplicativo de CRM composto de três camadas: Web,

APP e DB.4. Os usuários internos da empresa podem acessar a camada da Web do CRM na

porta 80 internamente por meio de um host administrativo seguro.5. A camada da Web se comunica com a camada do App na porta 8080.6. A camada do App se comunica com a camada de DB na porta 3306.7. A camada da Web está aberta para a VM de data centers internos na porta 80.8. No host administrativo seguro do VPC: todas as máquinas virtuais do CRM têm

acesso ssh na porta 22.9. Todas as camadas do VPC: o CRM se comunica com o servidor DNS na porta 53 e

com o LogServer na porta 514 no VPC: Common Services.10. Isso significa conexão com o DB para servidor de log (usado para serviços de

backup) deve existir conforme configurado pelo administrador; mas, na realidade,esta é a área com problema que será nosso foco.

HOL-1829-01-NET


Planejamento de segurança: nuvem AWS

O vRealize Network Insight estende o planejamento da microssegmentação paraestruturas do AWS. O aplicativo "CRM" no VPC da AWS já foi criado para você.

As etapas de criação de aplicativo foram discutidas no Módulo 3.

1. No vRealize Network Insight, clique em Plan Security

Na caixa de diálogo Plan Security , em Entity, selecione

1. Application

HOL-1829-01-NET


2. CRM3. Clique em Analyze

Podemos agora visualizar o aplicativo "CRM" de três camadas na AWS em um VPC.Vamos explorar a lógica do sistema de três camadas nas etapas a seguir.

1. Observe que Micro-Segments já está filtrado by Tier2. Web (a camada da Web se comunica com a camada do App na porta 8080. Os

usuários internos da organização podem acessar a camada da Web do aplicativodo CRM na porta 80 internamente)

3. App (a camada do App se comunica com a camada do DB na porta 3306)4. DB (A camada do DB se comunica com servidores de log): esta é uma área com

problema que vamos explorar.

Todas as camadas do primeiro VPC se comunicam com o servidor DNS na porta 53 ecom o servidor de log na porta 514 do segundo VPC

HOL-1829-01-NET


Exploração do aplicativo de três camadas: passo a passo

Agora, vamos explorar a configuração do aplicativo de três camadas para compreenderas configurações de segurança e comunicação.

1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na linha amarela para explorar os fluxos. Isso revelará os fluxos da Web

até o App.

HOL-1829-01-NET


1. A camada Web se comunica com a camada App na porta 8080.2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelará os fluxos do App até o

DB.

HOL-1829-01-NET


1. A camada do App se comunica com a camada de DB na porta 3306.2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha amarela para explorar os fluxos. Isso revelará os fluxos de DC

Virtual até App.

HOL-1829-01-NET


1. O DC Virtual (host administrativo seguro) se comunica com a camada do App naporta 22.

2. Clique em X para continuar.

HOL-1829-01-NET


1. Passe o mouse sobre o microssegmento do App.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso mostrará os fluxos do App até

Shared Virtual.

HOL-1829-01-NET


1. A camada do App se comunica com Shared Virtual na porta 53 e 514respectivamente.


HOL-1829-01-NET


1. Passe o mouse sobre Microssegmento de DB.2. Clique em Keep Focus.3. Clique na Linha azul para explorar os fluxos. Isso revelará os fluxos do DB até

Shared Virtual.

HOL-1829-01-NET


1. O DB foi planejado para enviar logs para "aws-log-server", ou seja, na porta 514(Syslog), mas o fluxo revela que há somente um serviço, aws-DNS-Server daporta 53. Em termos práticos, não há comunicação com o servidor syslog (que éo serviço de backup).


Consultas de firewall para o aplicativo de CRM

Para tratamento adicional do problema, o administrador pode executar três consultas defirewall para estabelecer por que o DB para Shared Virtual não tem fluxos para a porta514 (syslog).

HOL-1829-01-NET


1. No navegador Chrome, clique com o botão direito do mouse2. Selecione Duplicate no menu

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior edigite a nova consulta de pesquisa: firewall action of flows where dst vm ='aws-log-server' Isso retornará 5 resultados: 4 Allow (para Web e midtier) e 1Deny (para DB)

2. Clique em Search3. Clique na caixa de seleção DENYpara direcionar o foco para a regra de negação

Podemos ver uma regra DENY que está impedindo o crm-databse de se comunicarcom aws-log-server na porta 514. Isso indica que o Admin da AWS se esqueceu de

HOL-1829-01-NET


adicionar a regra para permitir o tráfego do (Banco de dados) crm-database para (oservidor syslog) aws-log-Server.

1. No navegador Chrome, clique com o botão direito do mouse.2. Selecione Duplicate no menu.

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior e asubstitua digitando a nova string de pesquisa: aws firewall rule where src vm= 'crm-web1' e dst vm = 'aws-log-server'.

HOL-1829-01-NET


2. Clique em Search3. Isso retornará 3 resultados: 1 regra de entrada e 2 regras de saída. O resultado

desta consulta valida a comunicação de "crm-web1" com "aws-log-server"

1. No navegador Chrome, clique com o botão direito do mouse.2. Selecione Duplicate no menu.

1. Remova a string de pesquisa atual que foi copiada ao duplicar a guia anterior e asubstitua digitando a nova string de pesquisa: aws firewall rule where src vm= 'crm-database' e dst vm = 'aws-log-server'.

HOL-1829-01-NET


2. Clique em Search.3. Isso retornará 2 resultados para Regras de saída, explicando mais

detalhadamente o comportamento da regra de firewall do crm-database paraaws-log-server.

HOL-1829-01-NET



Este módulo demostrou o recurso do vRealize Network Insight de compreender ospadrões de tráfego e planejar a microssegmentação em seus ambientes de nuvemprivada e pública. Essa capacidade oferece visibilidade inigualável das nuvens públicase privadas para planejamento de microssegmentação, visibilidade de rede egerenciamento.




HOL-1829-01-NET


ConclusionThank you for participating in the VMware Hands-on Labs. Be sure to visithttp://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1829-01-NET.zip

Version: 20171201-202848

HOL-1829-01-NET


http://hol.vmware.com/

Table of ContentsVisão geral do laboratório - HOL-1829-01-NET - Como começar com o vRealize Network InsightOrientação de laboratórioLocalização do Console principalMétodos alternativos de entrada de dados por tecladoClique e arraste o conteúdo do manual do laboratório para a janela ativa do consoleAcesso ao teclado internacional on-lineClique uma vez na janela ativa do consoleClique na tecla @vRealize Network Insight: navegaçãoSolicitação ou marca d'água de ativaçãoObserve a parte inferior direita da tela

Módulo 1: Microssegmentação e segurança (30 minutos)IntroduçãoIntrodução à microssegmentaçãoVerificação de status do laboratórioAbra o Google ChromeSelecione vRealize Network Insight FavoritevRealize Network Insight: tela de loginPlanejamento da segurançaPlanejamento da segurança: especifique uma predefiniçãoVisão geral: distribuição de tráfego (painel esquerdo)Distribuição de tráfego: visão geral (painel direito)Leste-oeste (EW) - TráfegoLeste-oeste (EW) - Visualização detalhadaServiços/portasServiços/portas - Visualização de linha do tempoServiços/portas - Serviço num dado período de tempoFluxos para a porta 5443Flow Key Properties: visualização da linha do tempoFlow Key Properties: visualização da linha do tempoMicrossegmentosFoco na rede 10.17.8.0Foco: VLAN/VXLANFoco: Prod-Web (25)Fluxos: Prod-Web a Prod-MidtierFluxos: regras de firewall recomendadasVárias portas e regras de firewall para Prod-webServiços e fluxos para Prod-WebMicrossegmentação centrada no aplicativoDefinir um aplicativoGrupo de segurança "Prod_MidTier"Resultados: PROD_MIDTIERGrupo de segurança Prod_MidTier: linha do tempoTopologia de firewall do grupo de segurançaRastreamento de Prod_MidTierLab-MidtierRegra de firewall: rastreamentoPesquisa de portaExportação de regras de firewallAlteração de associação da regra de firewallRegra de auditoria: alterações de associação de regra de firewallEvento definido pelo usuárioConfiguraçõesNotificações do sistema

ConclusãoPara obter mais informaçõesComo encerrar o laboratório

Módulo 2: Visibilidade completa de redes virtuais e físicas (45 minutos)IntroduçãoTotal visibilidade e solução de problemas de redeAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginCaminho e topologiaPath: selecione origem e destinoPath: continuação de origem e destinoPath: continuação de origem e destinoProcura do caminhoVM Path Topology e VM UnderlayTopologia de caminho da VM: Path DetailsVisão geral dos componentesMáquina virtual: detalhesHosts ESXi físicosHost: detalhesDVPG no mapaDVPGVLAN-629 no mapaRede VLANPortas de switch no mapaPorta de switchVRF físico no mapaVRF: switch físicoVRF: continuaçãoVRF: roteador físicoVRF: continuaçãoVRF: switch físicoAcesso à infraestrutura virtualVRF - Provider Edge 1 do NSXVXLAN no mapaRede VXLANVRF: LDRVRF: LDR-corporativoRoteamento: firewall do NSXFirewall: NSXRedirecionamento no mapa: firewall da PANFirewall: PANReversão da análiseContinuação da reversão da análiseVM Underlay


Módulo 3: Gerenciamento e operações avançados do NSX (45 minutos)IntroduçãoOperações de gerenciamento avançado do NSXVerificação de status do laboratórioAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginBarra de pesquisa: NSX ManagerInformações do NSX ManagerLinha do tempo: construção visualTopologia: foco no NSX ControllerNSX Controller: detalheTopologia: explicaçãoProvedor EdgeProvedor de roteadores Edge 4Retorno para a visualização de pesquisa: NSX ManagerProblemas de infraestrutura - Warning/ModerateProblemas do tipo Aviso/moderarProblemas do tipo Aviso/moderar (continuação)

Simulação interativa dos laboratórios práticos: gerenciamento e operações avançados do NSXConclusãoPara obter mais informaçõesComo encerrar o laboratório

Módulo 4: Gerenciamento da segurança para as nuvens públicas (AWS) (30 minutos)IntroduçãoIntrodução ao Gerenciamento da segurança para as nuvens públicas (AWS)Verificação de status do laboratórioAbra o Google ChromeSelecione o favorito vRealize Network InsightvRealize Network Insight: tela de loginConfiguração de AWSPlanejamento de segurança: nuvem AWSExploração do aplicativo de três camadas: passo a passoConsultas de firewall para o aplicativo de CRM


Conclusion

Documents

Table of Contents · desenvolvimento ocorre. Com base nas informações de DevOps, podemos agora aplicar as regras de firewall no estágio de QA e nos preparar para testes a fim de