Konfigurace zrcadlení portů
Platí pro: Advanced Threat Analytics verze 1.9
Poznámka
Tento článek je relevantní jenom v případě, že místo ATA Lightweight Gateway nasadíte KOMPONENTY ATA Gateway. Pokud chcete zjistit, jestli potřebujete používat KOMPONENTY ATA Gateway, přečtěte si téma Volba správných bran pro vaše nasazení.
Hlavním zdrojem dat, který ATA používá, je hloubková kontrola paketů síťového provozu do a z vašich řadičů domény. Aby ATA viděla síťový provoz, musíte buď nakonfigurovat zrcadlení portů, nebo použít síťové klepnutí.
Pro zrcadlení portů nakonfigurujte zrcadlení portů pro každý řadič domény, který se má monitorovat, jako zdroj síťového provozu. Na konfiguraci zrcadlení portů je obvykle potřeba spolupracovat se síťovým nebo virtualizačním týmem. Další informace najdete v dokumentaci vašeho dodavatele.
Řadiče domény a KOMPONENTY ATA Gateway můžou být fyzické nebo virtuální. Níže jsou uvedeny běžné metody zrcadlení portů a některé aspekty. Další informace najdete v dokumentaci k vašemu přepínači nebo virtualizačnímu serveru. Výrobce přepínače může používat jinou terminologii.
Span (Switched Port Analyzer) – kopíruje síťový provoz z jednoho nebo více portů přepínačů do jiného portu přepínače na stejném přepínači. ATA Gateway i řadiče domény musí být připojené ke stejnému fyzickému přepínači.
Analyzátor portů vzdáleného přepínače (RSPAN) – umožňuje monitorovat síťový provoz ze zdrojových portů distribuovaných přes více fyzických přepínačů. RSPAN zkopíruje zdrojový provoz do speciální sítě VLAN nakonfigurované v síti RSPAN. Tuto síť VLAN je potřeba připojit k ostatním zapojeným přepínačům. RSPAN pracuje ve vrstvě 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – je proprietární technologie Cisco pracující ve vrstvě 3. ERSPAN umožňuje monitorovat provoz napříč přepínači bez nutnosti používat kmeny sítě VLAN. ERSPAN používá ke kopírování monitorovaného síťového provozu obecné zapouzdření směrování (GRE). ATA v současné době nemůže přímo přijímat přenosy ERSPAN. Aby ATA fungovala s provozem ERSPAN, musí být přepínač nebo směrovač, který dokáže zapouzdřit provoz, nakonfigurovaný jako cíl ERSPAN, kde je provoz zapouzdřen. Pak nakonfigurujte přepínač nebo směrovač tak, aby přesměrovaly zapouzdřený provoz do ATA Gateway pomocí spanu nebo RSPANu.
Poznámka
Pokud je řadič domény, u kterého se zrcadlí port, připojený přes propojení WAN, ujistěte se, že propojení WAN dokáže zpracovat dodatečné zatížení provozu ERSPAN. ATA podporuje monitorování provozu jenom tehdy, když provoz dosáhne síťové karty a řadiče domény stejným způsobem. ATA nepodporuje monitorování provozu, když se provoz rozděluje na různé porty.
Podporované možnosti zrcadlení portů
| ATA Gateway | Řadič domény | Úvahy |
|---|---|---|
| Virtuální | Virtuální na stejném hostiteli | Virtuální přepínač musí podporovat zrcadlení portů. Přesunutí jednoho z virtuálních počítačů na jiného hostitele může samo o sobě narušit zrcadlení portů. |
| Virtuální | Virtuální na různých hostitelích | Ujistěte se, že váš virtuální přepínač podporuje tento scénář. |
| Virtuální | Fyzický | Vyžaduje vyhrazený síťový adaptér, jinak ATA uvidí veškerý provoz přicházející do a z hostitele, a to i provoz odesílaný do ATA Center. |
| Fyzický | Virtuální | Ujistěte se, že váš virtuální přepínač podporuje tento scénář a konfiguraci zrcadlení portů na fyzických přepínačích na základě tohoto scénáře: Pokud je virtuální hostitel na stejném fyzickém přepínači, musíte nakonfigurovat rozsah na úrovni přepínače. Pokud je virtuální hostitel na jiném přepínači, musíte nakonfigurovat rspan nebo ERSPAN*. |
| Fyzický | Fyzické na stejném přepínači | Fyzický přepínač musí podporovat zrcadlení SPAN/portů. |
| Fyzický | Fyzické na jiném přepínači | Vyžaduje fyzické přepínače pro podporu RSPAN nebo ERSPAN*. |
* ERSPAN se podporuje pouze v případech, kdy se provádí zapouzdření před analýzou provozu ata.
Poznámka
Ujistěte se, že řadiče domény a KOMPONENTY ATA Gateway, ke kterým se připojují, se vzájemně synchronizují do pěti minut.
Pokud pracujete s virtualizačními clustery:
- Pro každý řadič domény spuštěný na virtualizačním clusteru ve virtuálním počítači s ATA Gateway nakonfigurujte spřažení mezi řadičem domény a ATA Gateway. Když se řadič domény přesune na jiného hostitele v clusteru, ATA Gateway ho bude následovat. To funguje dobře, když existuje několik řadičů domény.
Poznámka
Pokud vaše prostředí podporuje virtual to Virtual na různých hostitelích (RSPAN), nemusíte se spřažením zabývat.
- Pokud chcete zajistit, aby komponenty ATA Gateway byly správně dimenzované tak, aby samy mohly monitorovat všechny řadiče domény, zkuste tuto možnost: Nainstalujte virtuální počítač na každého hostitele virtualizace a nainstalujte ATA Gateway na každého hostitele. Nakonfigurujte každou ATA Gateway tak, aby monitorovali všechny řadiče domény, které běží v clusteru. Tímto způsobem se monitoruje každý hostitel, na kterých jsou spuštěné řadiče domény.
Po konfiguraci zrcadlení portů ověřte, že zrcadlení portů funguje, a teprve potom nainstalujte ATA Gateway.