功能说明

网络可视化（aNI，Advanced Network Insight）实现虚拟机访问关系自动采集梳理，新增资产自动添加展示，及时同步资产情况。从业务的角度提供直观、清晰的虚拟机间的访问关系拓扑图和访问详情，便于优化策略配置、发现业务访问风险、减少风险端口暴露。

注意事项

1. 单主机访问关系记录数超出规格限制，会导致超负荷的虚拟机随机丢包，访问关系数据丢失。规格要求如下：

规格	核数	内存	存储	适用虚拟机总数
小型	8	16GB	500GB	100
中型	32	64GB	1T	1000
大型	64	128GB	1.5T	3000

2. 暂不支持采集虚拟路由器/虚拟交换机之间的流量、NFV的流量。
3. 暂不支持IPv6流量信息采集。
4. 超融合平台对虚拟机进行IP变更操作时，流量可视化服务更新将会延迟，一条流最晚更新时间为5min。
5. 网络可视化授权集成在aNET中，无需单独开通授权。
6. aNI虚拟机密码限制3个月强制修改一次。
7. 界面暂不支持展开超过100台虚拟机的分组。
8. 只采集经过DFW的流量（670的DFW默认是开启的），不经过DFW的流量无法采集上报。（虚拟路由器、虚拟交换机之间的流量、NFV均不采集）

前提条件

无

操作步骤

1. 进入[网络安全/网络可视化]页面，点击<配置指引>按钮，可参照指引完成网络可视化部署。

2. 点击<立即部署>按钮，进入导入虚拟机页面，按向导提示，导入访问关系虚拟机aNI的vma文件，选择虚拟机分组、存储位置、存储策略、运行位置。

：

虚拟机导入后，请查看下图所示向导，根据现有虚拟机数量，按照小型、中型、大型规格，编辑模板虚拟机的参数，其中存储容量主要用于存储平台上30天内存在访问关系的虚拟机的全部流数据。

3. 导入成功后，进入[编辑虚拟机]界面，进行网卡配置。勾选“启用”，连接到物理出口，点击<修改配置>按钮，选择“使用IPv4地址”，配置aNI虚拟机IP地址，作为“网络可视化”管理网络（此处需规划与超融合管理网段能够互通，推荐与超融合管理网同一网段）。

4. 启用合作伙伴服务端口，开启合作伙伴服务，否则将无法访问网络可视化服务。

3. 将虚拟机开机，进入虚拟机控制台，进行平台认证配置。

步骤1.输入云安全中心的密码登录。注意：首次登录需要修改密码，仅有5次试错密码的机会，若5次均输入错误，则账号会被锁定5min，5min后才可再次输入。默认密码为Sfcsec@123，密码修改策略如下：

• 密码长度应为8-64个字符且不能包含用户名；

• 密码必须包含大、小写字母，数字，特殊字符4种类型字符。

步骤2.修改后需要重新登录，选择“平台认证配置”，平台类型配置选择“HCI”。

步骤3.输入集群IP、用户名、密码，完成平台认证配置。

4. 平台认证配置成功后，重新进入[网络可视化]页面，点击<已完成，开启功能>按钮，进入网络可视化页面。

5. 在可视化页面可以看到平台上所有虚拟机的访问情况。右上角高级筛选，支持按照不同条件进行界面筛选。同时支持按照虚拟机、虚拟机分组的维度进行搜索，快速定位所需查看的虚拟机或分组。

• 访问状态筛选：全部访问状态、被策略允许、被策略丢弃、无策略匹配。

• 时间筛选：近30天、近7天、近3天、今天。

6. 选择分组，进入虚拟机分组展示页面

• 右上角卡片展示当前分组内虚拟机访问关系信息，包括虚拟机总数、存在位置通信、无任何访问、存在拦截访问。

• 选择某个云主机，点击右上角卡片上的<访问详情>按钮，可查看该云主机的访问详情。

• 点击缩小按钮，将收起返回初始界面。

7. 点击<访问详情>按钮，进入详情页面，点击操作栏<查看详情>，可获取每一条记录的详情信息，包括防火墙策略五元组信息：源对象、源IP、目的对象、目的IP、服务。

8. 点击<查看策略>按钮，将会跳转到[分布式防火墙]页面，可对访问策略进行增删改查等操作。

9. 平台也支持对网络可视化服务进行相关设置操作，点击<设置>按钮，支持对该服务进行开启、关闭等设置。

：

网络可视化服务关闭后，将不能再使用该功能，若需开启功能，需重新部署，才能恢复使用。

10. 进入[网络可视化升级]页面，可进行升级操作，同时也提供补丁升级与回滚机制。

注意：

• 一个版本内允许升级的补丁包数量最大为10个。

• 回滚补丁包只支持按升级顺序倒序回滚，每次只能回滚一个补丁包。

• 升级和回滚均采用冷启动，此过程对业务无影响，只是暂时无法使用网络可视化功能。

• 升级和回滚过程中如果异常中断，会自动回退。