前言本文件描述 N-Reporter ESX/ESXi 虛擬機環境如何配置 Probe 功能第一章說明如何配置 N-Probe 虛擬機, 將來自交換機的 mirror 流量轉成 NetFlow, 再轉發到 N-Reporter 分析統計第二章說明配置 N-Reporter 虛擬機的 Probe

0 V 1.1.3 ( 繁體 ) 0 (01-03-01-018) 2016/06/21

前言本文件描述 N-Reporter ESX/ESXi 虛擬機環境如何配置 Probe 功能第一章說明如何配置 N-Probe 虛擬機, 將來自交換機的 mirror 流量轉成 NetFlow, 再轉發到 N-Reporter 分析統計第二章說明配置 N-Reporter 虛擬機的 Probe 功能, 將來自交換機 mirror 流量轉成 NetFlow, 轉發給自己分析統計文件章節如下 : 1 N-Probe 虛擬機配置 Probe 功能... 2 1.1 ESX/ESXi server 需求... 2 1.2 下載 N-Probe OVA file... 2 1.3 配置 N-Probe 虛擬機... 2 1.4 N-Probe 虛擬機管理網口 eth0 配置... 3 1.5 申請 N-Probe License... 4 1.6 N-Probe 虛擬機 probe 網口配置... 4 1.7 N-Probe 虛擬機 CLI 配置... 7 2 N-Reporter 虛擬機配置 Probe 功能... 8 2.1 配置 N-Reporter 虛擬機... 8 2.2 2-2 N-Reporter 虛擬機 probe 網口配置... 8 2.3 N-Reporter 虛擬機 CLI 配置... 14 3 故障排除 (Troubleshooting)... 15 連絡資訊... 17 1

2 1 N-Probe 虛擬機配置 Probe 功能 1.1 ESX/ESXi server 需求 (1) 請準備一台 Server, 建議規格如下 : CPU 建議 Intel Xeon E3-1230 v2 或以上記憶體 8G 以上 N-Probe 運行時, 若要達到最佳效能,probe 一個網口至少需要 1G, 兩個網口至少需要 2 G, 以此類推最低安裝記憶體空間硬碟空間 3GB 以上,N-Probe 需 1G 空間安裝 ESX/ESXi 4.1.0 或以上版本 (2) 請準備一台 Windows 電腦, 安裝 VMware vsphere Client ( 建議安裝 vsphere Client 4.1.0 以上版本 ), 用於管理 ESX/ESXi Server (3) 請準備 N-Reporter 真實機或 N-Reporter 虛擬機接收 N-Probe 送來的 Flow 流量準備 N-Reporter 虛擬機, 請安參考 N-Reporter 虛擬機配置文件 : http://www.npartnertech.com/download/setup/n-reporter-vmware-deployment-tw.pdf 1.2 下載 N-Probe OVA file VMware ESX/ESXi 的版本 N-Reporter Image 下載位址如下 : http://www.npartnertech.com/download/vm/n-probe.ova 1.3 配置 N-Probe 虛擬機 (1) 開啟 VMware vsphere Client, 登入 ESXi Server (2) 滑鼠左點 [File] [Deploy OVF Template] (3) 滑鼠左點 [Browse...], 選擇 N-Probe.ova, 按 [Next] (4) 按 [Next] (5) 輸入 N-Probe 虛擬機名稱, 本例輸入 "N-Probe", 按 [Next] (6) 選擇 datastore( 儲存裝置 ), 按 [Next] (7) 請選擇適用的格式, 建議選擇較高效能的 Thick 格式, 勾選 [Thick provision format], 按 [Next] Thick 格式儲存容量要求虛擬硬碟完整的大小,N-Probe 要求 1G 容量註 : ESXi 5 版請選擇 [Thick provision lazy zeroed];esxi 4 版請選擇 [Thick provision format] 2

1.4 N-Probe 虛擬機管理網口 eth0 配置 (1) 請下載 N-Reporter 快速安裝指引 NReporter-QuickStart-Guide-V2-TW.pdf, 參考此文件配置 N-Probe 網路設定 (2) 下載快速安裝指引 : http://www.npartnertech.com/download/setup/n-reporter-quickstart-guide-tw.pdf (3) 管理網口 eth0 網路設定 : 開啟 VMware vsphere Client, 登入 ESXi Server 滑鼠左點 N-Probe 虛擬機滑鼠左點 [Console], 進入 console 畫面, 再登入 CLI ( 註 : 預設 CLI 登入帳號密碼 :npartner / npartner) configure terminal # 進入 configure terminal interface eth0 192.168.2.2 255.255.255.0 gw 192.168.2.253 # 格式為 interface [interface] [N-Probe_IP] [subnet_mask] gw [gateway_ip] exit # 離開 configure terminal show configure # 檢查網路設定是否正確本例設定 N-Probe eth0( 管理網口 ) 的 IP 為 192.168.2.2 3

4 1.5 申請 N-Probe License (1) 瀏覽器 URL 輸入 "http://192.168.2.2/sysadm/register.html", 連上 Web 登入頁面, 滑鼠左點 Get Machine Key, 下載 machine.dat (2) 將 machine.dat 寄給 support@npartnertech.com 郵件格式主旨 :N-Probe License 測試申請郵件內容 : 公司名稱 : 申請人 : 電子郵件 : 連絡人電話 : 服務的經銷商或 SI 廠商 :( 可空白 ) 備註 : (3) support@npartnertech.com 將回覆信件並附上 License File 請再連上 http://192.168.2.2, 上傳 license file 上傳後系統會自動重新開機 1.6 N-Probe 虛擬機 probe 網口配置 (1) 開啟 VMware vsphere Client,ESX/ESXi (2) 滑鼠左點 [ Home ] [ Inventory ] (3) 檢視 ESXi Server 所有物理網卡 (Physical Network Adapters) 滑鼠左點 ESXi Server [ Configuration ] [ Network Adapters ] 本例 N-Probe 虛擬機使用物理網口 vmnic0 為管理 port (eth0), 使用物理網口 vmnic1 接收交換機的 mirror 流量, 請將 vmnic1 接上交換機的 mirror port 註 : 交換機需先設定 mirror port 註 : 多 interface probe 測試環境, 請將 ESXi 的 vmnic1~vmnicn 接上多個平行交換機的 mirror port (4) 假如 vmnic1 沒有 Network Label, 新增 vmnic1 的 Network Label 為 "VM Network2" 滑鼠左點 ESXi Server [ Configuration ] [ Networking ] [ Add Networking... ] Connect type 勾選 [ Virtual Machine ], 按 [ Next ] 勾選[ Create Virtual Switch ], 勾選 [ vmnic1 ], 按 [ Next ] Network Label 使用預設 "VM Network2", 按 [ Next ] 按[ finish ] 註 : 多 interface probe 測試環境, 請新增 vmnic1 到 vmnicn 對應的 Network Label "VM Network2" ~ "VM NetworkN+1" 4

(5) 啟動 VM Network2 的混亂模式 (Promiscuous Mode) 滑鼠左點 ESXi Server [ Configuration ] [ Networking ] [ vswitch1 Properties... ] 滑鼠左點 [ VM Network2 ] [ Edit...] [ Security ] 勾選[Promiscuous Mode], 下拉選單選擇 [ Accept ], 按 [ OK ] 註 : 多 interface probe 測試環境,VM Network2 ~ VM NetworkN 皆需要開啟 promiscuous mode( 混亂模式 ) (6) 關閉 N-Probe 虛擬機虛擬機關閉後, 滑鼠左點 N-Probe 虛擬機, 左點 [ Edit virtual machine settings ] (7) 滑鼠左點 N-Probe 虛擬機第二個虛擬網口 (Virtual Network Adapter)Network adapter 2, Network label 下拉選擇 VM Network2, 按 [ OK ] 註 : 多 interface probe 測試環境,N-Reporter 需要新增多個虛擬網口 (virtual Network adapter), 有別於管理網口 eth0, 我們稱做 N-Reporter 的 eth1 eth2... ethn, 它們設定的 Network Label 必須個別對應 ESXi Server 接上平行交換機的 vmnic1 vmnic2... vmnicn 5

6 (8) 啟動 N-Probe 虛擬機 6

1.7 N-Probe 虛擬機 CLI 配置 (1) 透過 vsphere Console 進入 N-Reporter CLI 開啟 VMware vsphere Client 登入 ESX/ESXi 滑鼠左點 [ Home ] [ Inventory ] 滑鼠左點 N-Probe 虛擬機 [ Console ] 輸入登入帳號 :npartner, 密碼 :npartner, 進入 N-Reporter CLI (2) Export flow : A. 輸入 configure terminal, 按 Enter, 進入 configure terminal B. 輸入 flow-export N-Reporter IP port, 本例為 flow-export 192.168.2.1 9001 按 Enter, 設定 flow 接收 IP 與 port C. 輸入 flow-sampling 1, 按 Enter 設定 flow sampling rate, 預設為 1 D. 輸入 probe interface 1, 按 Enter, 啟動 probe 功能, 開啟一個網口 (eth1) E. 輸入 "exit", 按 Enter, 離開 configure terminal configure terminal flow-export 192.168.2.1 9001 # 設定 flow(port 9001) 輸出到 192.168.2.1 flow-sampling 1 # 設定 flow sampling rate, 預設為 1 probe interface 1 # 啟動一個 port(eth1) 的 Probe 功能 exit 註 :N 個 interface 的 probe 測試環境, 請設定 "probe interface N" (3) Export syslog : A. 輸入 configure terminal, 按 Enter, 進入 configure terminal B. 輸入 syslog-export N-Reporter IP, 本例為 syslog-export 192.168.2.1 按 Enter, 設定 syslog 接收 IP 輸入"exit", 按 Enter, 離開 configure terminal 7

8 2 N-Reporter 虛擬機配置 Probe 功能 2.1 配置 N-Reporter 虛擬機請參考 " 安裝 N-Reporter image on VMWare ESX/ESXi" 文件配置 N-Reporter 虛擬機文件下載的 URL: http://www.npartnertech.com/download/setup/n-reporter-vmware-deployment-tw.pdf 註 : 申請 N-Reporter 虛擬機 License 時, 請在備註欄註明申請含 Probe 模組的 License 本例配置的 N-Reporter 虛擬機名稱為 "ES-ICMP-200G" 2.2 N-Reporter 虛擬機 probe 網口配置 (1) 開啟 VMware vsphere Client,ESX/ESXi (2) 滑鼠左點 [ Home ] [ Inventory ] (3) 檢視 ESXi Server 所有物理網卡 (Physical Network Adapters) 滑鼠左點 ESXi Server ( 本例為 192.168.2.11) [ Configuration ] [ Network Adapters ] 一般而言,N-Reporter 虛擬機使用物理網卡 vmnic0 為管理 port, 使用物理網卡 vmnic1 接收交換機的 mirror 流量, 請將 vmnic1 接上交換機的 mirror port 註 : 交換機需先設定 mirror port 8

(4) 假如 vmnic1 沒有 Network Label, 新增 vmnic1 的 Network Label 為 "VM Network2" 滑鼠左點 ESXi Server [ Configuration ] [ Networking ] [ Add Networking... ] Connect type 勾選 [ Virtual Machine ], 按 [ Next ] 勾選 [ Create Virtual Switch ], 勾選 [ vmnic1 ], 按 [ Next ] Network Label 使用預設 "VM Network2", 按 [ Next ] 按 [ finish ] 9

10 (5) 啟動 VM Network2 的混亂模式 (Promiscuous Mode) 滑鼠左點 ESXi Server [ Configuration ] [ Networking ] [ Properties... ] 滑鼠左點 [ VM Network2 ] [ Edit...] [ Security ] 勾選 [Promiscuous Mode], 下拉選單選擇 [ Accept ], 按 [ OK ] 10

(6) 關閉 N-Reporter 虛擬機 ES-ICMP-200G 虛擬機關閉後, 滑鼠左點 N-Reporter 虛擬機 ES-ICMP-200G, 左點 [ Edit virtual machine settings ] 11

12 (7) 滑鼠左點 N-Reporter 虛擬機第二個虛擬網口 (Virtual Network Adapter)Network adapter 2, Network label 下拉選擇 VM Network2, 按 [ OK ] 12

註 : 多 interface probe 測試環境,N-Reporter 需要新增多個虛擬網口 (virtual Network adapter), 有別於管理網口 eth0, 我們稱做 N-Reporter 的 eth1 eth2... ethn, 它們設定的 Network Label 必須個別對應 ESXi Server 接上平行交換機的 vmnic1 vmnic2... vmnicn (8) 啟動 N-Reporter 虛擬機 13

14 2.3 N-Reporter 虛擬機 CLI 配置 (1) 透過 vsphere Console 進入 N-Reporter CLI 開啟 VMware vsphere Client 登入 ESX/ESXi 滑鼠左點 [ Home ] [ Inventory ] 滑鼠左點 N-Reporter 虛擬機 ES-ICMP-200G [ Console ] 輸入登入帳號:npartner, 密碼 :npartner, 進入 N-Reporter CLI (2) Export flow: 輸入 "configure terminal ", 按 Enter 輸入"flow-export N-Reporter IP port", 本例為 "flow-export 192.168.2.1 9001", 按 Enter, 設定 flow 接收 IP 與 port 輸入 "probe on", 按 Enter, 啟動 probe 功能輸入 "exit", 按 Enter, 離開 configure terminal 14

3 故障排除 (Troubleshooting) (1) 登入 N-Reporter Web, 如果 N-Reporter 未知 Flow 設備沒有出現, 請依照下列步驟檢查 (2) 登入 N-Reporter CLI (3) 再進入 N-Reporter NShell 輸入"nshell", 按 Enter (4) 測試 N-Reporter probe 功能 :NShell 模式中輸入 "tcpdump -i lo udp port 9001", 按 Enter 如果有 tcpdump 到 flow 流量, 表示設定成功 (5) 測試 N-Reporter probe export syslog 功能 :NShell 模式中輸入 "tcpdump -i lo udp port 514", 按 Enter 如果有 tcpdump 到 syslog, 表示設定成功 15

16 (6) 測試 N-Probe 功能 :NShell 模式中輸入 "tcpdump -i eth0 udp port 9001 and 192.168.2.2", 按 Enter 如果有 tcpdump 到 flow 流量, 表示設定成功註 : 本例 N-Probe IP 為 192.168.2.2 (7) 測試 N-Reporter probe export syslog 功能 :NShell 模式中輸入 "tcpdump -i eth0 udp port 514", 按 Enter 如果有 tcpdump 到 syslog, 表示設定成功 16

連絡資訊 N-Partner TEL: +886-4-23752865 FAX: +886-4-23757458 技術資源 : Email: support@npartnertech.com Skype:support@npartnertech.com 業務資源 : Email: sales@npartnertech.com 17

前言 本文件描述 N-Reporter ESX/ESXi 虛擬機環境如何配置 Probe 功能 第一章說明如何配置 N-Probe 虛擬機, 將來自交換機的 mirror 流量轉成 NetFlow, 再轉發到 N-Reporter 分析統計 第二章說明配置 N-Reporter 虛擬機的 Probe

前言本文件描述 N-Reporter ESX/ESXi 虛擬機環境如何配置 Probe 功能第一章說明如何配置 N-Probe 虛擬機, 將來自交換機的 mirror 流量轉成 NetFlow, 再轉發到 N-Reporter 分析統計第二章說明配置 N-Reporter 虛擬機的 Probe