Porttükrözés konfigurálása
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Megjegyzés:
Ez a cikk csak akkor releváns, ha egyszerűsített ATA-átjárók helyett ATA-átjárókat helyez üzembe. Annak megállapításához, hogy szükség van-e az ATA-átjárók használatára, olvassa el a megfelelő átjárók kiválasztása az üzembe helyezéshez című témakört.
Az ATA által használt fő adatforrás a tartományvezérlők felé és onnan érkező hálózati forgalom részletes csomagvizsgálata. Ahhoz, hogy az ATA láthassa a hálózati forgalmat, konfigurálnia kell a porttükrözést, vagy hálózati TAP-t kell használnia.
A porttükrözéshez konfigurálja az egyes tartományvezérlők porttükrözését a hálózati forgalom forrásaként. A porttükrözés konfigurálásához általában a hálózatkezelési vagy virtualizálási csapattal kell együttműködnie. További információkért tekintse meg a szállító dokumentációját.
A tartományvezérlők és az ATA-átjárók lehetnek fizikai vagy virtuálisak. Az alábbiakban a porttükrözés gyakori módszereit és néhány szempontot ismertetjük. További információkért tekintse meg a kapcsoló- vagy virtualizálási kiszolgáló termékdokumentációját. Előfordulhat, hogy a kapcsoló gyártója más terminológiát használ.
Átváltott portelemző (SPAN) – A hálózati forgalmat egy vagy több kapcsolóportról egy másik kapcsolóportra másolja ugyanazon a kapcsolón. Az ATA-átjárónak és a tartományvezérlőknek is ugyanahhoz a fizikai kapcsolóhoz kell csatlakozniuk.
Távoli kapcsolóportelemző (RSPAN) – Lehetővé teszi a több fizikai kapcsolón keresztül elosztott forrásportok hálózati forgalmának monitorozását. Az RSPAN egy speciális RSPAN-konfigurált VLAN-ba másolja a forrásforgalmat. Ezt a VLAN-t a többi érintett kapcsolóra kell helyezni. Az RSPAN a 2. rétegben működik.
Beágyazott távoli kapcsolóportelemző (ERSPAN) – A Cisco által védett technológia a 3. rétegben működik. Az ERSPAN lehetővé teszi a kapcsolók közötti forgalom monitorozását VLAN-csomagtartók nélkül. Az ERSPAN általános útválasztási beágyazást (GRE) használ a figyelt hálózati forgalom másolásához. Az ATA jelenleg nem tudja közvetlenül fogadni az ERSPAN-forgalmat. Ahhoz, hogy az ATA működjön az ERSPAN-forgalommal, a forgalmat lefejező kapcsolót vagy útválasztót az ERSPAN célhelyeként kell konfigurálni, ahol a forgalom le van bontva. Ezután konfigurálja a kapcsolót vagy az útválasztót úgy, hogy a lefejezett forgalmat a SPAN vagy RSPAN használatával továbbítsa az ATA-átjáróra.
Megjegyzés:
Ha a porttükrözés alatt álló tartományvezérlő WAN-kapcsolaton keresztül csatlakozik, győződjön meg arról, hogy a WAN-hivatkozás képes kezelni az ERSPAN-forgalom további terhelését. Az ATA csak akkor támogatja a forgalom figyelését, ha a forgalom azonos módon éri el a hálózati adaptert és a tartományvezérlőt. Az ATA nem támogatja a forgalom monitorozását, ha a forgalom különböző portokon oszlik el.
Támogatott porttükrözési beállítások
| ATA-átjáró | Tartományvezérlő | Considerations |
|---|---|---|
| Virtuális | Virtuális egyazon gazdagépen | A virtuális kapcsolónak támogatnia kell a porttükrözést. Ha az egyik virtuális gépet önmagában áthelyezi egy másik gazdagépre, az megszakíthatja a porttükrözést. |
| Virtuális | Virtuális gépek különböző gazdagépeken | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet. |
| Virtuális | Fizikai | Dedikált hálózati adaptert igényel, különben az ATA az összes bejövő és kimenő forgalmat látja a gazdagépen, még az ATA-központnak küldött forgalmat is. |
| Fizikai | Virtuális | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet – és a porttükrözés konfigurálását a fizikai kapcsolókon a forgatókönyv alapján: Ha a virtuális gazdagép ugyanazon a fizikai kapcsolón van, konfigurálnia kell egy kapcsolószintű tartományt. Ha a virtuális gazdagép másik kapcsolón van, konfigurálnia kell az RSPAN-t vagy az ERSPAN-t*. |
| Fizikai | Fizikai ugyanazon a kapcsolón | A fizikai kapcsolónak támogatnia kell a SPAN/Porttükrözést. |
| Fizikai | Fizikai egy másik kapcsolón | Fizikai kapcsolókra van szükség az RSPAN vagy az ERSPAN* támogatásához. |
* Az ERSPAN csak akkor támogatott, ha lefejezést hajt végre, mielőtt az ATA elemezné a forgalmat.
Megjegyzés:
Győződjön meg arról, hogy a tartományvezérlők és a hozzájuk csatlakozó ATA-átjárók egymástól öt percen belül szinkronizálva vannak.
Ha virtualizálási fürtökkel dolgozik:
- Az ATA-átjáróval rendelkező virtuális gépek virtualizálási fürtjén futó minden egyes tartományvezérlő esetében konfigurálja a tartományvezérlő és az ATA-átjáró közötti affinitást. Így, amikor a tartományvezérlő a fürt egy másik gazdagépére kerül, az ATA-átjáró követi. Ez akkor működik jól, ha van néhány tartományvezérlő.
Megjegyzés:
Ha a környezeti támogatás virtuális műveletet végez különböző gazdagépeken (RSPAN), akkor nem kell aggódnia az affinitás miatt.
- Ha meg szeretné győződni arról, hogy az ATA-átjárók mérete megfelelően méretezve van az összes tartományvezérlő monitorozásához, próbálkozzon ezzel a lehetőséggel: Telepítsen egy virtuális gépet minden virtualizálási gazdagépre, és telepítsen egy ATA-átjárót minden gazdagépre. Konfigurálja az egyes ATA-átjárókat a fürtön futó összes tartományvezérlő figyeléséhez. Így a rendszer figyeli a tartományvezérlők által futtatott gazdagépeket.
A porttükrözés konfigurálása után ellenőrizze, hogy működik-e a porttükrözés az ATA-átjáró telepítése előtt.