Настройка зеркального отображения портов
Область применения: Advanced Threat Analytics версии 1.9
Примечание.
Эта статья относится только к развертыванию шлюзов ATA вместо упрощенных шлюзов ATA. Чтобы определить, нужно ли использовать шлюзы ATA, см. статью "Выбор правильных шлюзов для развертывания".
Основной источник данных, используемый ATA, — это глубокая проверка сетевого трафика на контроллеры домена и из нее. Чтобы atA увидел сетевой трафик, необходимо настроить порт зеркало или использовать сетевой касание.
Для зеркало порта настройте зеркало порта для отслеживания каждого контроллера домена в качестве источника сетевого трафика. Как правило, необходимо работать с группой по сети или виртуализации, чтобы настроить зеркало портов. Дополнительные сведения см. в документации поставщика.
Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными. Ниже приведены распространенные методы зеркало портов и некоторые рекомендации. Дополнительные сведения см. в документации по коммутатору или серверу виртуализации. Изготовитель коммутаторов может использовать другую терминологию.
Переключение анализатора портов (SPAN) — копирует сетевой трафик из одного или нескольких портов коммутатора в другой порт коммутатора на том же коммутаторе. Шлюз ATA и контроллеры домена должны быть подключены к одному физическому коммутатору.
Анализатор портов удаленного коммутатора (RSPAN) — позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам. RSPAN копирует исходный трафик в специальную виртуальную локальную локальную сеть RSPAN. Эта виртуальная локальная сеть должна быть магистральной к другим коммутаторам. RSPAN работает на уровне 2.
Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) — это частная технология Cisco, работающая на уровне 3. ERSPAN позволяет отслеживать трафик между коммутаторами без необходимости в магистрали виртуальной локальной сети. ERSPAN использует инкапсуляцию универсальной маршрутизации (GRE) для копирования отслеживаемого сетевого трафика. ATA в настоящее время не может напрямую получать трафик ERSPAN. Чтобы ATA работал с трафиком ERSPAN, переключатель или маршрутизатор, который может декапсулировать трафик, необходимо настроить в качестве назначения ERSPAN, где трафик декапсулирован. Затем настройте коммутатор или маршрутизатор, чтобы перенаправить декапсулированный трафик в шлюз ATA с помощью SPAN или RSPAN.
Примечание.
Если контроллер домена, зеркало подключен по каналу глобальной сети, убедитесь, что канал глобальной сети может обрабатывать дополнительную нагрузку трафика ERSPAN. ATA поддерживает только мониторинг трафика, когда трафик достигает сетевого адаптера и контроллера домена таким же образом. ATA не поддерживает мониторинг трафика при разрыве трафика на разные порты.
Поддерживаемые параметры зеркало порта
| Шлюз ATA | Контроллер домена | Рекомендации |
|---|---|---|
| Виртуальная | Виртуальная на одном узле | Виртуальный коммутатор должен поддерживать порт зеркало. Перемещение одной из виртуальных машин на другой узел может нарушить зеркало порта. |
| Виртуальная | Виртуальная на разных узлах | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий. |
| Виртуальная | Физически | Требуется выделенный сетевой адаптер, в противном случае ATA видит весь трафик, поступающий и исходящий из узла, даже трафик, который он отправляет в Центр ATA. |
| Физически | Виртуальная | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий— и конфигурацию зеркало порта на физических коммутаторах в зависимости от сценария: Если виртуальный узел находится на том же физическом коммутаторе, необходимо настроить диапазон уровня коммутатора. Если виртуальный узел находится на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*. |
| Физически | Физический на том же коммутаторе | Физический коммутатор должен поддерживать зеркальное отображение ДИАПАЗОНА или порта. |
| Физически | Физический на другом коммутаторе | Требуется физические коммутаторы для поддержки RSPAN или ERSPAN*. |
* ERSPAN поддерживается только при выполнении декапсуляции перед анализом трафика ATA.
Примечание.
Убедитесь, что контроллеры домена и шлюзы ATA, к которым они подключаются, синхронизируются с пятью минутами друг друга.
Если вы работаете с кластерами виртуализации, выполните следующие действия.
- Для каждого контроллера домена, работающего в кластере виртуализации в виртуальной машине с шлюзом ATA, настройте сходство между контроллером домена и шлюзом ATA. Таким образом, когда контроллер домена перемещается на другой узел в кластере, шлюз ATA следует за ним. Это хорошо работает, если есть несколько контроллеров домена.
Примечание.
Если поддержка среды virtual to Virtual на разных узлах (RSPAN) вам не нужно беспокоиться о сходстве.
- Чтобы убедиться, что шлюзы ATA имеют правильный размер для обработки мониторинга всех контроллеров домена самостоятельно, попробуйте выполнить эту команду: установите виртуальную машину на каждом узле виртуализации и установите шлюз ATA на каждом узле. Настройте каждый шлюз ATA для мониторинга всех контроллеров домена, работающих в кластере. Таким образом, отслеживается любой узел, на котором выполняются контроллеры домена.
После настройки зеркало порта убедитесь, что зеркало порта работает перед установкой шлюза ATA.