Konfigurieren der Portspiegelung
Gilt für: Advanced Threat Analytics, Version 1.9
Hinweis
Dieser Artikel ist nur relevant, wenn Sie ATA-Gateways anstelle von ATA Lightweight Gateways bereitstellen. Informationen dazu, ob Sie ATA-Gateways verwenden müssen, finden Sie unter Auswählen der richtigen Gateways für Ihre Bereitstellung.
Die von ATA verwendete Standard Datenquelle ist eine umfassende Paketüberprüfung des Netzwerkdatenverkehrs an und von Ihren Aufgaben Standard controllern. Damit ATA den Netzwerkdatenverkehr anzeigen kann, müssen Sie entweder den Port Spiegel ing konfigurieren oder ein Netzwerk-TAP verwenden.
Konfigurieren Sie für die Portierung Spiegel ing den Port Spiegel ing für jede zu überwachende Do Standard-Controller als Quelle des Netzwerkdatenverkehrs. In der Regel müssen Sie mit dem Netzwerk- oder Virtualisierungsteam arbeiten, um portieren Spiegel ing zu konfigurieren. Weitere Informationen finden Sie in der Dokumentation Ihres Herstellers.
Ihre Do Standard-Controller und ATA-Gateways können entweder physisch oder virtuell sein. Im Folgenden finden Sie allgemeine Methoden für das Portieren Spiegel ing und einige Überlegungen. Weitere Informationen finden Sie in der Produktdokumentation zu Switch- oder Virtualisierungsservern. Ihr Switch-Hersteller verwendet möglicherweise unterschiedliche Terminologie.
Switched Port Analyzer (SPAN) – Kopiert den Netzwerkdatenverkehr von einem oder mehreren Switchports in einen anderen Switchport auf demselben Switch. Sowohl das ATA-Gateway als auch die do Standard-Controller müssen mit demselben physischen Switch verbunden sein.
Remote Switch Port Analyzer (RSPAN) – Ermöglicht es Ihnen, den Netzwerkdatenverkehr von Quellports zu überwachen, die über mehrere physische Switches verteilt sind. RSPAN kopiert den Quelldatenverkehr in ein spezielles RSPAN-konfiguriertes VLAN. Dieses VLAN muss zu den anderen beteiligten Switches trunked werden. RSPAN arbeitet bei Layer 2.
Gekapselte Remote Switch Port Analyzer (ERSPAN) – Ist eine proprietäre Cisco-Technologie, die auf Layer 3 arbeitet. ERSPAN ermöglicht es Ihnen, den Datenverkehr über Switches zu überwachen, ohne DASS VLAN-Trunks erforderlich sind. ERSPAN verwendet die generische Routingkapselung (GRE), um überwachten Netzwerkdatenverkehr zu kopieren. ATA kann derzeit KEINEN ERSPAN-Datenverkehr direkt empfangen. Damit ATA mit ERSPAN-Datenverkehr arbeitet, muss ein Switch oder Router, der den Datenverkehr entkapselt, als Ziel von ERSPAN konfiguriert werden, in dem der Datenverkehr gekapselt ist. Konfigurieren Sie dann den Switch oder Router so, dass der gekapselte Datenverkehr über SPAN oder RSPAN an das ATA-Gateway weitergeleitet wird.
Hinweis
Wenn der Standard Controller, der portiert Spiegel, über eine WAN-Verbindung verbunden ist, stellen Sie sicher, dass die WAN-Verbindung die zusätzliche Last des ERSPAN-Datenverkehrs verarbeiten kann. ATA unterstützt nur die Datenverkehrsüberwachung, wenn der Datenverkehr die NIC und den Do Standard Controller auf die gleiche Weise erreicht. ATA unterstützt keine Datenverkehrsüberwachung, wenn der Datenverkehr in verschiedene Ports aufgeteilt wird.
Unterstützte Port-Spiegel ing-Optionen
| ATA-Gateway | Domänencontroller | Überlegungen |
|---|---|---|
| Virtual | Virtuell auf demselben Host | Der virtuelle Switch muss Port Spiegel ing unterstützen. Das Verschieben eines der virtuellen Computer auf einen anderen Host selbst kann den Port Spiegel ing unterbrechen. |
| Virtual | Virtuell auf verschiedenen Hosts | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt. |
| Virtual | Physisch | Erfordert einen dedizierten Netzwerkadapter, andernfalls sieht ATA den gesamten Datenverkehr ein und aus dem Host, auch den Datenverkehr, den er an das ATA Center sendet. |
| Physisch | Virtuell | Stellen Sie sicher, dass Ihr virtueller Switch dieses Szenario unterstützt – und portieren Sie Spiegel Konfiguration auf Ihren physischen Switches basierend auf dem Szenario: Wenn sich der virtuelle Host auf demselben physischen Switch befindet, müssen Sie eine Switchebenenspanne konfigurieren. Wenn sich der virtuelle Host auf einem anderen Switch befindet, müssen Sie RSPAN oder ERSPAN* konfigurieren. |
| Physisch | Physisch auf demselben Schalter | Physischer Switch muss SPAN/PortSpiegelung unterstützen. |
| Physisch | Physisch auf einem anderen Schalter | Erfordert physische Switches zur Unterstützung von RSPAN oder ERSPAN*. |
* ERSPAN wird nur unterstützt, wenn entkapselt wird, bevor der Datenverkehr von ATA analysiert wird.
Hinweis
Stellen Sie sicher, dass Standard Controller und die ATA-Gateways, mit denen sie eine Verbindung herstellen, innerhalb von fünf Minuten miteinander synchronisiert wurden.
Wenn Sie mit Virtualisierungsclustern arbeiten:
- Konfigurieren Sie für jeden do Standard-Controller, der auf dem Virtualisierungscluster auf einem virtuellen Computer mit dem ATA-Gateway ausgeführt wird, die Affinität zwischen dem Do Standard Controller und dem ATA-Gateway. Auf diese Weise wechselt der Controller Standard zu einem anderen Host im Cluster, dem das ATA-Gateway folgt. Dies funktioniert gut, wenn es ein paar do Standard Controller gibt.
Hinweis
Wenn Ihre Umgebung unterstützen Virtual to Virtual to Virtual on different hosts (RSPAN) müssen Sie sich keine Gedanken über Affinität machen.
- Um sicherzustellen, dass die ATA-Gateways ordnungsgemäß angepasst werden, um die Überwachung aller DCs selbst zu verarbeiten, probieren Sie diese Option aus: Installieren Sie einen virtuellen Computer auf jedem Virtualisierungshost, und installieren Sie ein ATA-Gateway auf jedem Host. Konfigurieren Sie jedes ATA-Gateway, um alle do Standard-Controller zu überwachen, die auf dem Cluster ausgeführt werden. Auf diese Weise wird jeder Host überwacht, auf dem die Do Standard controller ausgeführt werden.
Überprüfen Sie nach dem Konfigurieren der Port-Spiegel ing, dass der Port Spiegel ing funktioniert, bevor Sie das ATA-Gateway installieren.