Konfigurowanie dublowania portów
Dotyczy: Advanced Threat Analytics w wersji 1.9
Uwaga
Ten artykuł jest istotny tylko w przypadku wdrażania bram usługi ATA zamiast uproszczonych bram usługi ATA. Aby określić, czy chcesz używać bram usługi ATA, zobacz Wybieranie odpowiednich bram dla danego wdrożenia.
Główne źródło danych używane przez usługę ATA to głęboka inspekcja pakietów ruchu sieciowego do i z kontrolerów domeny. Aby usługa ATA wyświetlała ruch sieciowy, należy skonfigurować dublowanie portów lub użyć interfejsu TAP sieci.
W przypadku dublowania portów skonfiguruj dublowanie portów dla każdego kontrolera domeny do monitorowania jako źródła ruchu sieciowego. Zazwyczaj należy pracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów. Aby uzyskać więcej informacji, zobacz dokumentację dostawcy.
Kontrolery domeny i bramy usługi ATA mogą być fizyczne lub wirtualne. Poniżej przedstawiono typowe metody dublowania portów i niektóre zagadnienia. Aby uzyskać więcej informacji, zobacz dokumentację produktu switch or virtualization server. Producent przełącznika może używać innej terminologii.
Switched Port Analyzer (SPAN) — kopiuje ruch sieciowy z co najmniej jednego portu przełącznika do innego portu przełącznika na tym samym przełączniku. Zarówno brama usługi ATA, jak i kontrolery domeny muszą być podłączone do tego samego przełącznika fizycznego.
Analizator portów przełącznika zdalnego (RSPAN) — umożliwia monitorowanie ruchu sieciowego z portów źródłowych rozproszonych za pośrednictwem wielu przełączników fizycznych. Funkcja RSPAN kopiuje ruch źródłowy do specjalnej sieci VLAN skonfigurowanej przez funkcję RSPAN. Ta sieć VLAN musi być przełączona w magistralę do innych zaangażowanych przełączników. Funkcja RSPAN działa w warstwie 2.
Hermetyzowany analizator portów przełącznika zdalnego (ERSPAN) — jest zastrzeżoną technologią firmy Cisco działającą w warstwie 3. Funkcja ERSPAN umożliwia monitorowanie ruchu między przełącznikami bez konieczności używania magistrali sieci VLAN. Funkcja ERSPAN używa hermetyzacji routingu ogólnego (GRE) do kopiowania monitorowanego ruchu sieciowego. Obecnie usługa ATA nie może bezpośrednio odbierać ruchu ERSPAN. Aby usługa ATA mogła pracować z ruchem ERSPAN, przełącznik lub router, który może decapsulate ruchu, musi być skonfigurowany jako miejsce docelowe ERSPAN, w którym ruch jest decapsulatowany. Następnie skonfiguruj przełącznik lub router, aby przekazać decapsulatowany ruch do bramy usługi ATA przy użyciu funkcji SPAN lub RSPAN.
Uwaga
Jeśli kontroler domeny, który jest dublowany na porcie, jest połączony za pośrednictwem łącza sieci WAN, upewnij się, że łącze sieci WAN może obsłużyć dodatkowe obciążenie ruchu ERSPAN. Usługa ATA obsługuje monitorowanie ruchu tylko wtedy, gdy ruch dociera do karty sieciowej i kontrolera domeny w taki sam sposób. Usługa ATA nie obsługuje monitorowania ruchu, gdy ruch jest podzielony na różne porty.
Obsługiwane opcje dublowania portów
| Brama usługi ATA | Kontroler domeny | Kwestie wymagające rozważenia |
|---|---|---|
| Wirtualne | Maszyna wirtualna na tym samym hoście | Przełącznik wirtualny musi obsługiwać dublowanie portów. Przeniesienie jednej z maszyn wirtualnych na inny host może spowodować przerwanie dublowania portów. |
| Wirtualne | Maszyna wirtualna na różnych hostach | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz. |
| Wirtualne | Fizyczne | Wymaga dedykowanej karty sieciowej w przeciwnym razie usługa ATA widzi cały ruch przychodzący i wychodzący z hosta, nawet ruch wysyłany do centrum usługi ATA. |
| Fizyczne | Wirtualne | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz — i konfigurację dublowania portów na przełącznikach fizycznych w zależności od scenariusza: Jeśli host wirtualny znajduje się na tym samym przełączniku fizycznym, należy skonfigurować zakres poziomu przełącznika. Jeśli host wirtualny znajduje się na innym przełączniku, należy skonfigurować funkcję RSPAN lub ERSPAN*. |
| Fizyczne | Fizyczny na tym samym przełączniku | Przełącznik fizyczny musi obsługiwać funkcję SPAN/dublowanie portów. |
| Fizyczne | Fizyczny na innym przełączniku | Wymaga przełączników fizycznych do obsługi RSPAN lub ERSPAN*. |
* Funkcja ERSPAN jest obsługiwana tylko w przypadku decapsulacji, zanim ruch zostanie przeanalizowany przez usługę ATA.
Uwaga
Upewnij się, że kontrolery domeny i bramy usługi ATA, z którymi się łączą, mają czas zsynchronizowany z wartością w ciągu pięciu minut od siebie.
Jeśli pracujesz z klastrami wirtualizacji:
- Dla każdego kontrolera domeny uruchomionego w klastrze wirtualizacji na maszynie wirtualnej z bramą usługi ATA należy skonfigurować koligację między kontrolerem domeny a bramą usługi ATA. W ten sposób, gdy kontroler domeny zostanie przeniesiony do innego hosta w klastrze, następuje po nim brama usługi ATA. Działa to dobrze, gdy istnieje kilka kontrolerów domeny.
Uwaga
Jeśli twoja wsparcie środowiska virtual to Virtual na różnych hostach (RSPAN), nie musisz martwić się o koligację.
- Aby upewnić się, że bramy usługi ATA mają prawidłowy rozmiar do obsługi monitorowania wszystkich kontrolerów domeny samodzielnie, wypróbuj tę opcję: Zainstaluj maszynę wirtualną na każdym hoście wirtualizacji i zainstaluj bramę usługi ATA na każdym hoście. Skonfiguruj każdą bramę usługi ATA do monitorowania wszystkich kontrolerów domeny uruchomionych w klastrze. W ten sposób monitorowane są wszystkie hosty, na których działają kontrolery domeny.
Po skonfigurowaniu dublowania portów sprawdź, czy dublowanie portów działa przed zainstalowaniem bramy usługi ATA.