辽宁移动补充功能性测试

1、1测试分布式1.1创建的功能以及 applied torte 特性：规则并下发1）测试 VM 逻辑关系如下登录到 Web-01 验证所有虚拟机地址都可以 ping 通：Web-01（1） Web-02 (2) App-01(1)DB-01(1)LB(0)21 分布式（Distributed Firewall）通过 LB 发地址可以正常业务应用。2）创建新的规则 section3）建立应用虚拟机之间的安全规则任意地址通过 HTTPSWeb 虚拟机Web 虚拟机通过 Tomcat（TCP

2、8443）App 虚拟机App 虚拟机通过 MysqlSSH 登录 Web-01DB 虚拟机然后将 default 规则设置为 deny34）验证规则生效SSH 登录 Web-01，ping 所有 VM 地址，应该都无法 ping 通HTTPSLB 业务应用地址，可以正常。策略下发 Applied To 功能1.21）登录 ESXi 主机 2，上面有两个虚拟机（Web-01 和 db-01）#summarize-dvfilter查找到与 db-01 有关的 filter name 为 nic-86391-eth0-vmware-sfw.2#vsipioctl getfwrules -f <

3、;Filter Name>4这时候看到所有的前面设置的策略都被推送到了 Db-01 的上，有很多和 Db 虚拟机无关的策略。为了避免这种情况，我们设置 Applied To 特性。2）在 vCenter 里面设置 Applied To，颗粒度为 logical Switch。3）这时再次验证 Db-01 的策略这时候可以看到所有和 DB-01 虚拟机无关的机层面。策略都被推送到虚拟5根据整个 NSX 环境收集的数据，快速确定数据中心的“Intresting”数据流。1）vCenter-Networking Security-Flow Monitoring2）Enable Flow Col

4、lection3）找一台 Apache 服务器模拟对 Web-01 发起的大流量的 HTTP62 流量（Flow Monitoring）4)通过 Flow Monitoring-Dashboard-Top Flows 可以看到目前中最大的流量为 HTTP5）显示数据流的详细信息6）可以点进去看到每个数据流的详细信息，包含源地址和目的地址根据信息直接添加策略，源地址 VM 对于 Web-01 的 HTTP 请求。7检查规则，策略已经自动部署完毕7）点击 live Flow，选择某个 VM 的虚拟机网卡，可以检测到当前出入 vNIC 的活动 Flow 的信息。8SpoofGuard 是通过分布式系

5、的安全性，防止来确保数据中心虚拟机 vnic 的 IP 和 MAC 地址对应关。1）创建 SpoofGuard 规则，选择“Trust On First Use”2）选择其中一台虚拟机，例如 4开启长 ping。登录这台虚拟机，手工更改 IP 地址为 74，开启对于此地址的长 ping，这时候是无法 ping 通的。手工 approve IP 地址为 74 之后，IP 地址可以 pint 通将 VM 的 IP 地址改回 4，可以正常 ping 通。93SpoofGuard104.1Activity Monitoring1）NSX 加入 AD 域信息2）部署 Endpoint3）Activity Monitor选择要的 Cluster114 Activity Monitoring 和验证4）从 Activity Monitoring 的界面可以看到目前虚拟机登陆用户应用的详细信息。验证4.21）创建一个 Domain Admins 的，属于 Admin 的 AD Group12