×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Advanced Network Insight (aNI) บน SCP

ปรับปรุงเมื่อ

บทนำ

Advanced Network Insight (aNI) เป็นฟีเจอร์บน Sangfor Cloud Platform (SCP) ที่ช่วยรวบรวมและจัดเรียงข้อมูล access relationship ระหว่าง virtual machine โดยอัตโนมัติ แสดง asset status แบบ real-time และให้มุมมอง topology ที่ชัดเจนจากมุมมองทางธุรกิจ ช่วยให้ผู้ดูแลระบบสามารถ optimize policy configuration, ค้นหา business access risk และลด risk port exposure ได้อย่างมีประสิทธิภาพ

ข้อกำหนดเบื้องต้น

  • รองรับเฉพาะ SCP 6.8.0 เท่านั้น
  • aNI platform ต้องสามารถสื่อสารกับ management network ของ HCI และ SCP ได้ (แนะนำให้อยู่ใน network segment เดียวกัน)
  • aNI authorization ถูกรวมอยู่ใน aNET ไม่จำเป็นต้อง activate license แยก
SCP Advanced Network Insight - page 258

ข้อมูล Specification ของ aNI Virtual Machine

Type Cores Memory Storage Total Applicable VM
Small 8 16GB 500GB 100
Medium 32 64GB 1TB 1000
Large 64 128GB 1.5TB 3000

ขั้นตอนการติดตั้งและ Deploy

ขั้นตอนที่ 1: สร้าง aNI Administrator

  1. เข้าสู่ระบบ SCP platform ในฐานะ admin ไปที่ User and Access Management > Users > Platform Administrators แล้วคลิก New
  2. กรอกข้อมูล:
    • Name: ani_admin
    • Role: aNI administrator
    • Login username: ani_admin
    • Email: ระบุ email
    • Password: กำหนด password

ขั้นตอนที่ 2: เปิดใช้งาน Public Services

  1. ไปที่ System > Services เลือก Advanced Services
  2. คลิก Enable Public Module
  3. Start Network Insight services

ขั้นตอนที่ 3: Import aNI Virtual Machine

  1. ไปที่ Compute > Virtual Machines คลิก New เลือก Import Virtual Machine หรือเข้าหน้า Network Insight แล้วคลิก Deploy Now
  2. Import ไฟล์ .vma โดยเลือก resource pool, virtual machine group, running location, storage performance และ network card

ขั้นตอนที่ 4: ตั้งค่า Network Card

  1. หลัง import สำเร็จ เข้าหน้า Edit Virtual Machine เพื่อตั้งค่า network card
  2. เลือก Enable NIC, เชื่อมต่อกับ physical edge
  3. คลิก Specify IP เลือก IPv4 แล้วกำหนด IP address ของ aNI management network (แนะนำให้อยู่ใน network segment เดียวกับ SCP management network)

ขั้นตอนที่ 5: เปิดใช้งาน Correlated Security Service

  1. เข้าสู่ระบบ HCI cluster ที่ aNI ติดตั้งอยู่
  2. เปิดใช้งาน correlated service port และ Correlated Security Service (มิฉะนั้น network insight service จะไม่สามารถเข้าถึงได้)

ขั้นตอนที่ 6: ตั้งค่า Platform Security Linkage

  1. เปิด virtual machine และเข้าสู่ VM console
  2. ใส่ password ของ cloud security center เพื่อ login (default password: Sfcsec@123) จำเป็นต้องเปลี่ยน password ในครั้งแรก
  3. Password ต้องมีความยาว 8-64 ตัวอักษร ประกอบด้วยตัวอักษรพิมพ์ใหญ่ พิมพ์เล็ก ตัวเลข และอักขระพิเศษ
  4. หลัง login สำเร็จ คลิก Platform Authentication เลือก SCP สำหรับ platform type configuration
  5. กรอกข้อมูล: Cluster IP (IP ของ SCP management port), Username/Password (ani_admin/password)
  6. คลิก Authenticate เพื่อทำการ deploy aNI ให้เสร็จสมบูรณ์

การตั้งค่าใช้งาน Network Insight

  1. หลังติดตั้ง aNI เสร็จ เข้าหน้า Network Insight แล้วคลิก Go Now
  2. ไปที่ Networking > Network Insight เลือก resource pool ที่ต้องการเปิดใช้งาน แล้วคลิก Enable
  3. ในหน้า Network Insight สามารถดู access record ของ VM ทั้งหมดบน platform โดย:
    • กรองตาม access status: All, Allowed, Denied หรือ No Policy Matched
    • กรองตามเวลา: Last 30 days, Last 7 days, Last 3 days หรือ Today
    • กรองตาม VM หรือ VM group
  4. คลิก Access Details เพื่อดูรายละเอียดและ export access list ได้
  5. คลิก View Details เพื่อดูข้อมูล firewall policy quintuple: Src Object, Src IP, Dst Object, Dst IP และ Service
  6. คลิก View Policies เพื่อไปยังหน้า Distributed Firewall สำหรับเพิ่ม ลบ แก้ไข access policies
  7. คลิก Settings เพื่อ enable, disable, upgrade หรือตั้งค่า network insight service
SCP Advanced Network Insight - page 268

หมายเหตุ

  • ปัจจุบันไม่รองรับการเก็บข้อมูล traffic ระหว่าง virtual router/virtual switch และ NFV
  • ไม่รองรับการเก็บข้อมูล IPv6 traffic
  • เมื่อ HCI เปลี่ยน IP address ของ VM การอัปเดต traffic visualization จะมีความล่าช้า (สูงสุด 5 นาที)
  • password ของ aNI ต้องเปลี่ยนทุก 3 เดือน
  • เมื่อ deploy aNI บน SCP แล้ว จะไม่สามารถ deploy บน platform อื่นได้
  • การแก้ไข configuration ของ aNI VM โดยตรง จำเป็นต้อง restart เพื่อให้มีผล
  • หลังปิด network insight service ฟังก์ชันจะไม่สามารถใช้งานได้อีก หากต้องการเปิดใหม่ต้อง redeploy
  • เก็บข้อมูลเฉพาะ traffic ที่ผ่าน DWF เท่านั้น (DWF ของ 670 เปิดใช้งานโดยค่าเริ่มต้น)
  • Interface ไม่รองรับการขยาย group ที่มี VM มากกว่า 100 เครื่อง
SCP Advanced Network Insight - page 269

บทความที่เกี่ยวข้อง

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น