포트 미러링 구성
적용 대상: Advanced Threat Analytics 버전 1.9
참고 항목
이 문서는 ATA 경량 게이트웨이 대신 ATA 게이트웨이를 배포하는 경우에만 관련이 있습니다. ATA 게이트웨이를 사용해야 하는지 확인하려면 배포에 적합한 게이트웨이 선택을 참조하세요.
ATA에서 사용하는 기본 데이터 원본은 할 일기본 컨트롤러의 네트워크 트래픽에 대한 심층 패킷 검사입니다. ATA에서 네트워크 트래픽을 보려면 포트 미러 구성하거나 네트워크 TAP를 사용해야 합니다.
포트 미러 경우 네트워크 트래픽의 원본으로 모니터링할 각 do기본 컨트롤러에 대한 포트 미러 구성 합니다. 일반적으로 네트워킹 또는 가상화 팀과 협력하여 포트 미러 구성해야 합니다. 자세한 내용은 공급업체의 설명서를 참조하세요.
do기본 컨트롤러 및 ATA 게이트웨이는 물리적 또는 가상일 수 있습니다. 다음은 포트 미러 및 몇 가지 고려 사항에 대한 일반적인 방법입니다. 자세한 내용은 스위치 또는 가상화 서버 제품 설명서를 참조하세요. 스위치 제조업체는 다른 용어를 사용할 수 있습니다.
SPAN(Switched Port Analyzer) – 하나 이상의 스위치 포트에서 동일한 스위치의 다른 스위치 포트로 네트워크 트래픽을 복사합니다. ATA 게이트웨이와 do기본 컨트롤러는 모두 동일한 물리적 스위치에 연결되어야 합니다.
RSPAN(원격 스위치 포트 분석기) – 여러 물리적 스위치에 분산된 원본 포트에서 네트워크 트래픽을 모니터링할 수 있습니다. RSPAN은 원본 트래픽을 특수 RSPAN 구성된 VLAN에 복사합니다. 이 VLAN은 관련된 다른 스위치로 트렁크되어야 합니다. RSPAN은 계층 2에서 작동합니다.
캡슐화된 ERSPAN(원격 스위치 포트 분석기) – 계층 3에서 작동하는 Cisco 독점 기술입니다. ERSPAN을 사용하면 VLAN 트렁크 없이도 스위치 간 트래픽을 모니터링할 수 있습니다. ERSPAN은 GRE(일반 라우팅 캡슐화)를 사용하여 모니터링되는 네트워크 트래픽을 복사합니다. ATA는 현재 ERSPAN 트래픽을 직접 수신할 수 없습니다. ATA가 ERSPAN 트래픽을 사용하려면 트래픽을 캡슐화할 수 있는 스위치 또는 라우터를 트래픽이 캡슐화되는 ERSPAN의 대상으로 구성해야 합니다. 그런 다음 SPAN 또는 RSPAN을 사용하여 캡슐화되지 않은 트래픽을 ATA 게이트웨이로 전달하도록 스위치 또는 라우터를 구성합니다.
참고 항목
포트가 미러 기본 컨트롤러가 WAN 링크를 통해 연결된 경우 WAN 링크가 ERSPAN 트래픽의 추가 부하를 처리할 수 있는지 확인합니다. ATA는 트래픽이 동일한 방식으로 NIC 및 do기본 컨트롤러에 도달할 때만 트래픽 모니터링을 지원합니다. ATA는 트래픽이 다른 포트로 분할되는 경우 트래픽 모니터링을 지원하지 않습니다.
지원되는 포트 미러 옵션
| ATA 게이트웨이 | 도메인 컨트롤러 | 고려 사항 |
|---|---|---|
| 가상 | 동일한 호스트의 가상 | 가상 스위치는 포트 미러 지원해야 합니다. 가상 머신 중 하나를 다른 호스트로 단독으로 이동하면 포트 미러 중단이 발생할 수 있습니다. |
| 가상 | 다른 호스트의 가상 | 가상 스위치가 이 시나리오를 지원하는지 확인합니다. |
| 가상 | 물리적 | 전용 네트워크 어댑터가 필요합니다. 그렇지 않으면 ATA는 호스트에서 들어오고 나가는 모든 트래픽, 심지어 ATA 센터로 보내는 트래픽도 볼 수 있습니다. |
| 물리적 | 가상 | 가상 스위치가 이 시나리오를 지원하는지 확인하고 시나리오에 따라 물리적 스위치의 포트 미러 구성을 지원합니다. 가상 호스트가 동일한 물리적 스위치에 있는 경우 스위치 수준 범위를 구성해야 합니다. 가상 호스트가 다른 스위치에 있는 경우 RSPAN 또는 ERSPAN*을 구성해야 합니다. |
| 물리적 | 동일한 스위치의 물리적 | 물리적 스위치는 SPAN/포트 미러링을 지원해야 합니다. |
| 물리적 | 다른 스위치의 물리적 | RSPAN 또는 ERSPAN*을 지원하려면 물리적 스위치가 필요합니다. |
* ERSPAN은 ATA에서 트래픽을 분석하기 전에 캡슐화가 수행될 때만 지원됩니다.
참고 항목
컨트롤러와 연결된 ATA 게이트웨이에 기본 서로 5분 이내에 동기화된 시간이 있는지 확인합니다.
가상화 클러스터를 사용하는 경우:
- ATA 게이트웨이를 사용하여 가상 머신의 가상화 클러스터에서 실행되는 각 do기본 컨트롤러에 대해 do기본 컨트롤러와 ATA 게이트웨이 간에 선호도를 구성합니다. 이렇게 하면 할기본 컨트롤러가 클러스터의 다른 호스트로 이동하면 ATA 게이트웨이가 이를 따릅니다. 이 작업은 몇 가지 기본 컨트롤러가 있을 때 잘 작동합니다.
참고 항목
환경 지원SPAN(서로 다른 호스트)에서 Virtual to Virtual인 경우 선호도에 대해 걱정할 필요가 없습니다.
- ATA 게이트웨이의 크기가 적절하게 조정되어 모든 DC 모니터링을 자체적으로 처리하도록 하려면 각 가상화 호스트에 가상 머신을 설치하고 각 호스트에 ATA 게이트웨이를 설치하는 옵션을 시도해 보세요. 클러스터에서 실행되는 모든 할 일기본 컨트롤러를 모니터링하도록 각 ATA 게이트웨이를 구성합니다. 이렇게 하면 할기본 컨트롤러가 실행되는 모든 호스트가 모니터링됩니다.
포트 미러 구성한 후 ATA 게이트웨이를 설치하기 전에 포트 미러 작동 중인지 확인합니다.