Määritä portin peilaus
Koskee: Advanced Threat Analytics -versio 1.9
Huomautus
Tämä artikkeli on merkityksellinen vain, jos otat ATA-yhdyskäytävät käyttöön ATA-kevyiden yhdyskäytävien sijaan. Jos haluat selvittää, onko sinun käytettävä ATA-yhdyskäytäviä, katso kohta Oikeiden yhdyskäytäviä käyttöönottoa varten.
ATA:n tärkein tietolähde on verkkoliikenteen syväpakettitarkastus toimialueen ohjauskoneisiin ja toimialueen ohjauskoneista. Jotta ATA voi nähdä verkkoliikenteen, sinun on määritettävä portin peilaus tai käytettävä verkon napautusta.
Määritä porttien peilausta varten kunkin toimialueen ohjauskoneen portin peilaus verkkoliikenteen lähteeksi . Yleensä sinun on tehtävä yhteistyötä verkko- tai virtualisointitiimin kanssa porttien peilauksen määrittämiseksi. Lisätietoja on toimittajan dokumentaatiossa.
Toimialueen ohjauskoneet ja ATA-yhdyskäytävät voivat olla joko fyysisiä tai virtuaalisia. Seuraavat ovat yleisiä portin peilauksen menetelmiä ja joitakin huomioon otettavia seikkoja. Lisätietoja on switch- tai virtualisointipalvelimen tuotedokumentaatiossa. Valitsimen valmistaja saattaa käyttää eri termejä.
Switch Port Analyzer (SPAN) – Kopioi verkkoliikenteen yhdestä tai useammasta vaihtoportista toiseen saman kytkimen kytkinporttiin. Sekä ATA-yhdyskäytävä että toimialueen ohjauskone on yhdistettävä samaan fyysiseen valitsimeen.
Remote Switch Port Analyzer (RSPAN) – Tämän avulla voit valvoa useiden fyysisten kytkimien kautta jaettujen lähdeporttien verkkoliikennettä. RSPAN kopioi lähdeliikenteen erityiseen RSPAN-määritettyun VLAN-tiedostoon. Tämä VLAN on varattava muiden kytkinten kanssa. RSPAN toimii kerroksessa 2.
Encapsulated Remote Switch Port Analyzer (ERSPAN) – Toimiiko Layer 3:ssa cisco-tekniikka. ERSPAN:in avulla voit valvoa liikennettä valitsimien välillä ilman VLAN-runkojen tarvetta. ERSPAN käyttää geneeristä reititys kapselointia (GRE) valvotun verkkoliikenteen kopioimiseen. ATA ei tällä hetkellä voi vastaanottaa ERSPAN-liikennettä suoraan. Jotta ATA toimisi ERSPAN-liikenteen kanssa, liikenteen katkaiseva kytkin tai reititin on määritettävä ERSPAN-kohdesijainniksi, jossa liikenne katkaistaan. Määritä sitten kytkin tai reititin välittääksesi kapseloidun liikenteen ATA-yhdyskäytävään joko SPAN- tai RSPAN-toiminnolla.
Huomautus
Jos portin peilattu toimialueen ohjauskone on yhdistetty WAN-linkin kautta, varmista, että WAN-linkki pystyy käsittelemään ERSPAN-liikenteen lisäkuormituksen. ATA tukee liikenteen valvontaa vain, kun liikenne saavuttaa verkkotunnuksen ja toimialueen ohjauskoneen samalla tavalla. ATA ei tue liikenteen seurantaa, kun liikenne on jaettu eri portteihin.
Tuetut porttien peilauksen asetukset
| ATA-yhdyskäytävä | Toimialueen ohjauskone | Näkökohdat |
|---|---|---|
| Virtuaalinen | Virtuaali samassa isännässä | Näennäiskytkimen on tuettava porttien peilausta. Näennäiskoneen siirtäminen toiseen isäntään voi rikkoa portin peilauksen. |
| Virtuaalinen | Virtuaalinen eri isännissä | Varmista, että virtuaalikytkin tukee tätä skenaariota. |
| Virtuaalinen | Fyysinen | Edellyttää varattua verkkosovitinta, muussa tapauksessa ATA näkee kaiken isännän saapuvan ja siitä lähtevän liikenteen, jopa liikenteen, jonka se lähettää ATA-keskukseen. |
| Fyysinen | Virtuaalinen | Varmista, että virtuaalikytkin tukee tätä skenaariota ja porttien peilauksen määritystä fyysisissä kytkimissä skenaarion perusteella: Jos näennäisisäntä on samassa fyysisessä kytkimessä, sinun on määritettävä kytkintason span. Jos näennäisisäntä on eri valitsimella, sinun on määritettävä RSPAN tai ERSPAN*. |
| Fyysinen | Fyysinen samassa kytkimessä | Fyysisen kytkimen on tuettava SPAN/Port Mirroring -peilausta. |
| Fyysinen | Fyysinen eri valitsimella | Edellyttää fyysisiä kytkimiä RSPAN- tai ERSPAN*-tuen tueksi. |
* ERSPAN-toimintoa tuetaan vain, kun kapselointi suoritetaan, ennen kuin ATA analysoi liikenteen.
Huomautus
Varmista, että toimialueen ohjauskoneet ja ATA-yhdyskäytävät, joihin ne muodostavat yhteyden, synkronoidaan viiden minuutin kuluessa toisistaan.
Jos käsittelet virtualisointiklustereita:
- Määritä affiniteetti toimialueen ohjauskoneen ja ATA-yhdyskäytävän välillä jokaiselle toimialueen ohjauskoneelle, joka on käynnissä näennäiskoneen virtualisointiklusterissa ATA-yhdyskäytävän kanssa. Näin, kun toimialueen ohjauskone siirtyy toiseen isäntään klusterissa, ATA-yhdyskäytävä seuraa sitä. Tämä toimii hyvin, kun toimialueen ohjauskoneita on vähän.
Huomautus
Jos ympäristösi tukee Virtual to Virtualia eri isännissä (RSPAN), sinun ei tarvitse huolehtia samankaltaisuudesta.
- Jos haluat varmistaa, että ATA-yhdyskäytävät on mitoitettu niin, että ne käsittelevät kaikkien DCs-tietokoneiden valvonnan yksinään, kokeile seuraavaa vaihtoehtoa: Asenna näennäiskone jokaiseen virtualisointiisäntöön ja asenna ATA-yhdyskäytävä kuhunkin isäntään. Määritä jokainen ATA-yhdyskäytävä valvomaan kaikkia toimialueen ohjauskoneita, jotka suoritetaan klusterissa. Näin valvotaan kaikkia toimialueen ohjauskoneiden suorittamia isäntitä.
Kun olet määrittänut portin peilauksen, varmista, että porttien peilaus toimii, ennen kuin asennat ATA-yhdyskäytävän.