Mengonfigurasi Pencerminan Port
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Catatan
Artikel ini hanya relevan jika Anda menyebarkan Gateway ATA alih-alih Gateway Ringan ATA. Untuk menentukan apakah Anda perlu menggunakan Gateway ATA, lihat Memilih gateway yang tepat untuk penyebaran Anda.
Sumber data utama yang digunakan oleh ATA adalah inspeksi paket mendalam dari lalu lintas jaringan ke dan dari pengendali domain Anda. Agar ATA dapat melihat lalu lintas jaringan, Anda harus mengonfigurasi pencerminan port, atau menggunakan TAP Jaringan.
Untuk pencerminan port, konfigurasikan pencerminan port untuk setiap pengontrol domain yang akan dipantau, sebagai sumber lalu lintas jaringan. Biasanya, Anda perlu bekerja dengan tim jaringan atau virtualisasi untuk mengonfigurasi pencerminan port. Untuk informasi selengkapnya, lihat dokumentasi vendor Anda.
Pengontrol domain dan Gateway ATA Anda dapat berupa fisik atau virtual. Berikut ini adalah metode umum untuk pencerminan port dan beberapa pertimbangan. Untuk informasi selengkapnya, lihat dokumentasi produk switch atau server virtualisasi Anda. Produsen switch Anda mungkin menggunakan terminologi yang berbeda.
Switched Port Analyzer (SPAN) – Menyalin lalu lintas jaringan dari satu atau beberapa port sakelar ke port sakelar lain pada sakelar yang sama. Gateway ATA dan pengontrol domain harus terhubung ke sakelar fisik yang sama.
Remote Switch Port Analyzer (RSPAN) – Memungkinkan Anda memantau lalu lintas jaringan dari port sumber yang didistribusikan melalui beberapa sakelar fisik. RSPAN menyalin lalu lintas sumber ke VLAN khusus yang dikonfigurasi RSPAN. VLAN ini perlu dipotong ke sakelar lain yang terlibat. RSPAN bekerja di Lapisan 2.
Enkapsulated Remote Switch Port Analyzer (ERSPAN) – Adalah teknologi kepemilikan Cisco yang bekerja di Lapisan 3. ERSPAN memungkinkan Anda memantau lalu lintas di seluruh sakelar tanpa perlu batang VLAN. ERSPAN menggunakan enkapsulasi perutean generik (GRE) untuk menyalin lalu lintas jaringan yang dipantau. ATA saat ini tidak dapat langsung menerima lalu lintas ERSPAN. Agar ATA dapat bekerja dengan lalu lintas ERSPAN, sakelar atau router yang dapat memisahkan lalu lintas perlu dikonfigurasi sebagai tujuan ERSPAN tempat lalu lintas didekapsulasi. Kemudian konfigurasikan sakelar atau router untuk meneruskan lalu lintas yang didekapsulasi ke Gateway ATA menggunakan SPAN atau RSPAN.
Catatan
Jika pengendali domain yang dicerminkan port tersambung melalui tautan WAN, pastikan tautan WAN dapat menangani beban tambahan lalu lintas ERSPAN. ATA hanya mendukung pemantauan lalu lintas ketika lalu lintas mencapai NIC dan pengendali domain dengan cara yang sama. ATA tidak mendukung pemantauan lalu lintas saat lalu lintas dipecah ke port yang berbeda.
Opsi pencerminan port yang didukung
ATA Gateway | Pengendali Domain | Pertimbangan |
---|---|---|
Virtual | Virtual pada host yang sama | Sakelar virtual perlu mendukung pencerminan port. Memindahkan salah satu komputer virtual ke host lain dengan sendirinya dapat merusak pencerminan port. |
Virtual | Virtual pada host yang berbeda | Pastikan sakelar virtual Anda mendukung skenario ini. |
Virtual | Fisik | Memerlukan adaptor jaringan khusus jika tidak, ATA melihat semua lalu lintas yang masuk dan keluar dari host, bahkan lalu lintas yang dikirimnya ke Pusat ATA. |
Fisik | Virtual | Pastikan sakelar virtual Anda mendukung skenario ini - dan konfigurasi pencerminan port pada sakelar fisik Anda berdasarkan skenario: Jika host virtual berada pada sakelar fisik yang sama, Anda perlu mengonfigurasi rentang tingkat sakelar. Jika host virtual berada di sakelar yang berbeda, Anda perlu mengonfigurasi RSPAN atau ERSPAN*. |
Fisik | Fisik pada sakelar yang sama | Sakelar fisik harus mendukung SPAN/Port Mirroring. |
Fisik | Fisik pada sakelar yang berbeda | Memerlukan sakelar fisik untuk mendukung RSPAN atau ERSPAN*. |
* ERSPAN hanya didukung ketika dekapsulasi dilakukan sebelum lalu lintas dianalisis oleh ATA.
Catatan
Pastikan bahwa pengontrol domain dan Gateway ATA tempat mereka terhubung memiliki waktu yang disinkronkan dalam waktu lima menit satu sama lain.
Jika Anda bekerja dengan kluster virtualisasi:
- Untuk setiap pengontrol domain yang berjalan pada kluster virtualisasi di komputer virtual dengan Gateway ATA, konfigurasikan afinitas antara pengendali domain dan Gateway ATA. Dengan cara ini ketika pengendali domain berpindah ke host lain di kluster Gateway ATA mengikutinya. Ini berfungsi dengan baik ketika ada beberapa pengontrol domain.
Catatan
Jika dukungan lingkungan Virtual ke Virtual di host (RSPAN) yang berbeda, Anda tidak perlu khawatir tentang afinitas.
- Untuk memastikan Gateway ATA berukuran tepat untuk menangani pemantauan semua DC sendiri, coba opsi ini: Instal komputer virtual pada setiap host virtualisasi dan instal Gateway ATA di setiap host. Konfigurasikan setiap Gateway ATA untuk memantau semua pengontrol domain yang berjalan pada kluster. Dengan cara ini, setiap host yang dijalankan pengendali domain dipantau.
Setelah mengonfigurasi pencerminan port, validasi bahwa pencerminan port berfungsi sebelum menginstal Gateway ATA.