Konfigurace zrcadlení portů
Platí pro: Advanced Threat Analytics verze 1.9
Poznámka:
Tento článek je relevantní jenom v případě, že nasadíte komponenty ATA Gateway místo ATA Lightweight Gateway. Pokud chcete zjistit, jestli potřebujete používat KOMPONENTY ATA Gateway, přečtěte si téma Volba správných bran pro vaše nasazení.
Hlavní zdroj dat používaný ATA je hloubková kontrola síťového provozu do a z řadičů domény. Aby ATA viděla síťový provoz, musíte buď nakonfigurovat zrcadlení portů, nebo použít network TAP.
Pro zrcadlení portů nakonfigurujte zrcadlení portů pro každý řadič domény, který se má monitorovat, jako zdroj síťového provozu. Při konfiguraci zrcadlení portů obvykle potřebujete spolupracovat se síťovým týmem nebo týmem virtualizace. Další informace najdete v dokumentaci od dodavatele.
Řadiče domény a komponenty ATA Gateway můžou být fyzické nebo virtuální. Tady jsou běžné metody zrcadlení portů a některé aspekty. Další informace najdete v dokumentaci k produktu přepínače nebo virtualizačního serveru. Výrobce přepínače může používat jinou terminologii.
Switched Port Analyzer (SPAN) – Kopíruje síťový provoz z jednoho nebo více portů přepínače na jiný port přepínače na stejném přepínači. ATA Gateway i řadiče domény musí být připojené ke stejnému fyzickému přepínači.
Analyzátor portů vzdáleného přepínače (RSPAN) – Umožňuje monitorovat síťový provoz ze zdrojových portů distribuovaných přes několik fyzických přepínačů. RSPAN kopíruje zdrojový provoz do speciální sítě VLAN nakonfigurované na PLATFORMě RSPAN. Tato síť VLAN musí být zmenšována na ostatní zapojené přepínače. RSPAN pracuje ve společnosti Layer 2.
Zapouzdřená analyzátor portů vzdáleného přepínače (ERSPAN) – je proprietární technologie Cisco pracující ve vrstvě 3. ERSPAN umožňuje monitorovat provoz mezi přepínači bez nutnosti kmenů sítě VLAN. ERSPAN ke kopírování monitorovaného síťového provozu používá obecné zapouzdření směrování (GRE). ATA momentálně nemůže přímo přijímat provoz ERSPAN. Aby ATA fungovala s přenosy ERSPAN, musí být přepínač nebo směrovač, který může zapouzdřit provoz, nakonfigurovaný jako cíl ERSPAN, kde je provoz zapouzdřen. Potom nakonfigurujte přepínač nebo směrovač tak, aby přesměrovaly odpojený provoz do ATA Gateway pomocí SPAN nebo RSPAN.
Poznámka:
Pokud je řadič domény zrcadlený přes port připojený přes propojení WAN, ujistěte se, že propojení WAN dokáže zpracovat další zatížení provozu ERSPAN. ATA podporuje monitorování provozu jenom v případech, kdy provoz dosáhne síťové karty a řadiče domény stejným způsobem. ATA nepodporuje monitorování provozu, když je provoz rozdělený na různé porty.
Podporované možnosti zrcadlení portů
| ATA Gateway | Řadič domény | Důležité informace |
|---|---|---|
| Virtuální | Virtuální na stejném hostiteli | Virtuální přepínač musí podporovat zrcadlení portů. Přesunutím jednoho z virtuálních počítačů do jiného hostitele může dojít k přerušení zrcadlení portů. |
| Virtuální | Virtuální na různých hostitelích | Ujistěte se, že váš virtuální přepínač podporuje tento scénář. |
| Virtuální | Fyzické | Vyžaduje vyhrazený síťový adaptér, jinak ATA vidí veškerý příchozí a odchozí provoz hostitele, a to i provoz, který odesílá do ATA Center. |
| Fyzické | Virtuální | Ujistěte se, že virtuální přepínač podporuje tento scénář – a konfiguraci zrcadlení portů na fyzických přepínačích na základě scénáře: Pokud je virtuální hostitel na stejném fyzickém přepínači, musíte nakonfigurovat rozsah úrovně přepínače. Pokud je virtuální hostitel na jiném přepínači, musíte nakonfigurovat RSPAN nebo ERSPAN*. |
| Fyzické | Fyzický na stejném přepínači | Fyzický přepínač musí podporovat ZRCADLENÍ PORTŮ/SPAN. |
| Fyzické | Fyzický na jiném přepínači | Vyžaduje fyzické přepínače pro podporu SÍTĚ RSPAN nebo ERSPAN*. |
* ERSPAN se podporuje pouze v případech, kdy se decapsulation provádí před analýzou provozu ATA.
Poznámka:
Ujistěte se, že řadiče domény a komponenty ATA Gateway, ke kterým se připojují, se vzájemně synchronizují do pěti minut.
Pokud pracujete s virtualizačními clustery:
- Pro každý řadič domény spuštěný na virtualizačním clusteru ve virtuálním počítači s ATA Gateway nakonfigurujte spřažení mezi řadičem domény a ATA Gateway. Tímto způsobem se řadič domény přesune na jiného hostitele v clusteru a ATA Gateway ho sleduje. To funguje dobře, když existuje několik řadičů domény.
Poznámka:
Pokud vaše podpora prostředí virtuální to Virtual na různých hostitelích (RSPAN), nemusíte se starat o spřažení.
- Pokud chcete mít jistotu, že komponenty ATA Gateway mají správnou velikost pro zpracování monitorování všech řadičů domény sami, vyzkoušejte tuto možnost: Nainstalujte virtuální počítač na každého hostitele virtualizace a nainstalujte ATA Gateway na každého hostitele. Nakonfigurujte každou ATA Gateway tak, aby monitorovali všechny řadiče domény, které běží v clusteru. Tímto způsobem se monitorují všechny hostitele, na kterých běží řadiče domény.
Po konfiguraci zrcadlení portů ověřte, že zrcadlení portů funguje před instalací KOMPONENTY ATA Gateway.