Konfigurowanie dublowania portów
Dotyczy: Advanced Threat Analytics w wersji 1.9
Uwaga
Ten artykuł jest odpowiedni tylko w przypadku wdrażania bram usługi ATA zamiast uproszczonych bram usługi ATA. Aby określić, czy musisz używać bram usługi ATA, zobacz Wybieranie odpowiednich bram dla wdrożenia.
Głównym źródłem danych używanym przez usługę ATA jest głęboka inspekcja pakietów ruchu sieciowego do i z kontrolerów domeny. Aby usługa ATA wyświetlała ruch sieciowy, należy skonfigurować dublowanie portów lub użyć kranu sieciowego.
W przypadku dublowania portów skonfiguruj dublowanie portów dla każdego kontrolera domeny do monitorowania jako źródła ruchu sieciowego. Zazwyczaj należy współpracować z zespołem ds. sieci lub wirtualizacji, aby skonfigurować dublowanie portów. Aby uzyskać więcej informacji, zobacz dokumentację dostawcy.
Kontrolery domeny i bramy usługi ATA mogą być fizyczne lub wirtualne. Poniżej przedstawiono typowe metody dublowania portów i pewne zagadnienia. Aby uzyskać więcej informacji, zobacz dokumentację produktu przełącznika lub serwera wirtualizacji. Producent przełącznika może używać innej terminologii.
Przełączony analizator portów (SPAN) — kopiuje ruch sieciowy z co najmniej jednego portu przełącznika do innego portu przełącznika na tym samym przełączniku. Brama usługi ATA i kontrolery domeny muszą być połączone z tym samym przełącznikiem fizycznym.
Remote Switch Port Analyzer (RSPAN) — umożliwia monitorowanie ruchu sieciowego z portów źródłowych rozproszonych na wielu przełącznikach fizycznych. Funkcja RSPAN kopiuje ruch źródłowy do specjalnej sieci VLAN skonfigurowanej przez program RSPAN. Ta sieć VLAN musi być przełączona do innych przełączników. Funkcja RSPAN działa w warstwie 2.
Hermetyzowany analizator portów przełącznika zdalnego (ERSPAN) — jest zastrzeżoną technologią Firmy Cisco działającą w warstwie 3. Funkcja ERSPAN umożliwia monitorowanie ruchu między przełącznikami bez konieczności używania magistrali sieci VLAN. Program ERSPAN używa ogólnej hermetyzacji routingu (GRE) do kopiowania monitorowanego ruchu sieciowego. Usługa ATA obecnie nie może bezpośrednio odbierać ruchu ERSPAN. Aby usługa ATA działała z ruchem ERSPAN, przełącznik lub router, który może decapsulate ruchu musi być skonfigurowany jako miejsce docelowe ERSPAN, gdzie ruch jest decapsulated. Następnie skonfiguruj przełącznik lub router, aby przekazywać decapsulated ruchu do bramy usługi ATA przy użyciu span lub RSPAN.
Uwaga
Jeśli kontroler domeny będący dublowanym portem jest połączony za pośrednictwem łącza sieci WAN, upewnij się, że łącze sieci WAN może obsłużyć dodatkowe obciążenie ruchu ERSPAN. Usługa ATA obsługuje monitorowanie ruchu tylko wtedy, gdy ruch dociera do karty sieciowej i kontrolera domeny w taki sam sposób. Usługa ATA nie obsługuje monitorowania ruchu, gdy ruch jest dzielony na różne porty.
Obsługiwane opcje dublowania portów
| Brama usługi ATA | Kontroler domeny | Zagadnienia dotyczące |
|---|---|---|
| Wirtualny | Wirtualny na tym samym hoście | Przełącznik wirtualny musi obsługiwać dublowanie portów. Samo przeniesienie jednej z maszyn wirtualnych na inny host może spowodować przerwanie dublowania portów. |
| Wirtualny | Wirtualne na różnych hostach | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz. |
| Wirtualny | Fizyczny | Wymaga dedykowanej karty sieciowej w przeciwnym razie usługa ATA widzi cały ruch przychodzący i wychodzący z hosta, nawet ruch wysyłany do centrum usługi ATA. |
| Fizyczny | Wirtualny | Upewnij się, że przełącznik wirtualny obsługuje ten scenariusz — i konfigurację dublowania portów na przełącznikach fizycznych w oparciu o scenariusz: Jeśli host wirtualny znajduje się na tym samym przełączniku fizycznym, musisz skonfigurować zakres na poziomie przełącznika. Jeśli host wirtualny znajduje się na innym przełączniku, musisz skonfigurować funkcję RSPAN lub ERSPAN*. |
| Fizyczny | Fizyczny na tym samym przełączniku | Przełącznik fizyczny musi obsługiwać dublowanie span/portów. |
| Fizyczny | Fizyczne na innym przełączniku | Wymaga przełączników fizycznych do obsługi funkcji RSPAN lub ERSPAN*. |
* Funkcja ERSPAN jest obsługiwana tylko wtedy, gdy decapsulation jest wykonywana przed analizą ruchu przez usługę ATA.
Uwaga
Upewnij się, że kontrolery domeny i bramy usługi ATA, z którymi się łączą, mają czas zsynchronizowany w ciągu pięciu minut od siebie.
Jeśli pracujesz z klastrami wirtualizacji:
- Dla każdego kontrolera domeny uruchomionego w klastrze wirtualizacji na maszynie wirtualnej z bramą usługi ATA skonfiguruj koligację między kontrolerem domeny a bramą usługi ATA. W ten sposób, gdy kontroler domeny zostanie przeniesiony do innego hosta w klastrze, brama usługi ATA będzie podążać za nim. Działa to dobrze, gdy istnieje kilka kontrolerów domeny.
Uwaga
Jeśli środowisko obsługuje funkcję Virtual to Virtual na różnych hostach (RSPAN), nie musisz martwić się o koligację.
- Aby upewnić się, że bramy usługi ATA mają prawidłowy rozmiar do samodzielnego monitorowania wszystkich kontrolerów domeny, wypróbuj tę opcję: Zainstaluj maszynę wirtualną na każdym hoście wirtualizacji i zainstaluj bramę usługi ATA na każdym hoście. Skonfiguruj każdą bramę usługi ATA, aby monitorować wszystkie kontrolery domeny uruchomione w klastrze. Dzięki temu każdy host uruchomiony na kontrolerach domeny jest monitorowany.
Po skonfigurowaniu dublowania portów sprawdź, czy dublowanie portów działa przed zainstalowaniem bramy usługi ATA.