Porttükrözés konfigurálása
A következőkre vonatkozik: Advanced Threat Analytics 1.9-es verzió
Megjegyzés:
Ez a cikk csak akkor releváns, ha egyszerűsített ATA-átjárók helyett ATA-átjárókat helyez üzembe. Annak megállapításához, hogy szükség van-e az ATA-átjárók használatára, tekintse meg az üzembe helyezéshez megfelelő átjárók kiválasztásával kapcsolatos cikket.
Az ATA által használt fő adatforrás a tartományvezérlők bejövő és kimenő hálózati forgalmának részletes csomagvizsgálata. Ahhoz, hogy az ATA megtekinthesse a hálózati forgalmat, konfigurálnia kell a porttükrözést, vagy hálózati TAP-t kell használnia.
A porttükrözéshez konfigurálja az egyes figyelendő tartományvezérlők porttükrözését a hálózati forgalom forrásaként . A porttükrözés konfigurálásához általában a hálózatkezelési vagy virtualizálási csapattal kell együttműködnie. További információt a szállító dokumentációjában talál.
A tartományvezérlők és az ATA-átjárók lehetnek fizikai vagy virtuálisak. Az alábbiakban a porttükrözés gyakori módszereit és néhány szempontot ismertetünk. További információt a kapcsoló- vagy virtualizálási kiszolgáló termékdokumentációjában talál. Előfordulhat, hogy a kapcsoló gyártója más terminológiát használ.
Switched Port Analyzer (SPAN) – Átmásolja a hálózati forgalmat egy vagy több kapcsolóportról egy másik kapcsolóportra ugyanazon a kapcsolón. Az ATA-átjárónak és a tartományvezérlőknek is ugyanahhoz a fizikai kapcsolóhoz kell csatlakozniuk.
Remote Switch Port Analyzer (RSPAN) – Lehetővé teszi a több fizikai kapcsolón elosztott forrásportok hálózati forgalmának monitorozását. Az RSPAN a forrásforgalmat egy speciális RSPAN-konfigurált VLAN-ba másolja. Ezt a VLAN-t a többi érintett kapcsolóhoz kell beszúrni. Az RSPAN a 2. rétegben működik.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – A Cisco saját fejlesztésű technológiája, amely a 3. rétegben működik. Az ERSPAN lehetővé teszi a kapcsolók közötti forgalom monitorozását VLAN-csomagtartók nélkül. Az ERSPAN általános útválasztási beágyazást (GRE) használ a figyelt hálózati forgalom másolásához. Az ATA jelenleg nem képes közvetlenül fogadni az ERSPAN-forgalmat. Ahhoz, hogy az ATA működjön az ERSPAN-forgalommal, a forgalmat lefejező kapcsolót vagy útválasztót az ERSPAN célhelyeként kell konfigurálni, ahol a forgalom le van bontva. Ezután konfigurálja úgy a kapcsolót vagy útválasztót, hogy a kibontott forgalmat span vagy RSPAN használatával továbbítsa az ATA-átjárónak.
Megjegyzés:
Ha a porttükrözés alatt álló tartományvezérlő WAN-kapcsolaton keresztül csatlakozik, győződjön meg arról, hogy a WAN-kapcsolat képes kezelni az ERSPAN-forgalom további terhelését. Az ATA csak akkor támogatja a forgalomfigyelést, ha a forgalom ugyanígy éri el a hálózati adaptert és a tartományvezérlőt. Az ATA nem támogatja a forgalom monitorozását, ha a forgalom különböző portok felé van bontva.
Támogatott porttükrözési beállítások
| ATA-átjáró | Tartományvezérlő | Megfontolások |
|---|---|---|
| Virtuális | Virtuális ugyanazon a gazdagépen | A virtuális kapcsolónak támogatnia kell a porttükrözést. Ha az egyik virtuális gépet önmagában áthelyezi egy másik gazdagépre, az megszakíthatja a porttükrözést. |
| Virtuális | Virtuális gépek különböző gazdagépeken | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet. |
| Virtuális | Fizikai | Dedikált hálózati adaptert igényel, különben az ATA az összes bejövő és kimenő forgalmat látja a gazdagépen, még az ATA-központnak küldött forgalmat is. |
| Fizikai | Virtuális | Győződjön meg arról, hogy a virtuális kapcsoló támogatja ezt a forgatókönyvet – és a porttükrözés konfigurációját a fizikai kapcsolókon a forgatókönyv alapján: Ha a virtuális gazdagép ugyanazon a fizikai kapcsolón található, konfigurálnia kell egy kapcsolószintű átfedést. Ha a virtuális gazdagép másik kapcsolón van, konfigurálnia kell az RSPAN-t vagy az ERSPAN-t*. |
| Fizikai | Fizikai ugyanazon a kapcsolón | A fizikai kapcsolónak támogatnia kell a SPAN/Porttükrözést. |
| Fizikai | Fizikai egy másik kapcsolón | Fizikai kapcsolókat igényel az RSPAN vagy az ERSPAN* támogatásához. |
* Az ERSPAN csak akkor támogatott, ha lefejezést végez, mielőtt az ATA elemezné a forgalmat.
Megjegyzés:
Győződjön meg arról, hogy a tartományvezérlők és az ATA-átjárók, amelyekhez csatlakoznak, egymástól öt percen belül szinkronizálva vannak.
Ha virtualizálási fürtökkel dolgozik:
- Az ATA-átjáróval rendelkező virtuális gép virtualizálási fürtjén futó összes tartományvezérlő esetében konfigurálja a tartományvezérlő és az ATA-átjáró közötti affinitást. Így amikor a tartományvezérlő a fürt egy másik gazdagépére kerül, az ATA-átjáró ezt követi. Ez akkor működik jól, ha van néhány tartományvezérlő.
Megjegyzés:
Ha a környezet támogatja a virtuálisról virtuálisra különböző gazdagépeken (RSPAN) történő használatát, akkor nem kell aggódnia az affinitás miatt.
- Ha meg szeretne győződni arról, hogy az ATA-átjárók mérete megfelelő az összes ügyfélszámítógép önálló monitorozásához, próbálkozzon a következő lehetőséggel: Telepítsen egy virtuális gépet minden virtualizálási gazdagépre, és telepítsen egy ATA-átjárót minden gazdagépre. Konfigurálja az egyes ATA-átjárókat a fürtön futó összes tartományvezérlő figyelésére. Ily módon a tartományvezérlők által futtatott gazdagépeket figyeli a rendszer.
A porttükrözés konfigurálása után ellenőrizze, hogy működik-e a porttükrözés az ATA-átjáró telepítése előtt.