Настройка зеркального отображения портов
Область применения: Advanced Threat Analytics версии 1.9
Примечание.
Эта статья относится только к развертыванию шлюзов ATA вместо упрощенных шлюзов ATA. Сведения о том, нужно ли использовать шлюзы ATA, см. в статье Выбор правильных шлюзов для развертывания.
Источник данных main, используемый ATA, — это глубокая проверка пакетов сетевого трафика в контроллеры домена и из него. Чтобы ATA отображал сетевой трафик, необходимо либо настроить зеркальное отображение портов, либо использовать TAP сети.
Для зеркального отображения портов настройте зеркальное отображение портов для каждого отслеживаемого контроллера домена в качестве источника сетевого трафика. Как правило, для настройки зеркального отображения портов необходимо сотрудничать с командой по работе с сетью или виртуализацией. Дополнительные сведения см. в документации вашего поставщика.
Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными. Ниже приведены распространенные методы зеркального отображения портов и некоторые рекомендации. Дополнительные сведения см. в документации по продукту коммутатора или сервера виртуализации. Производитель коммутатора может использовать другую терминологию.
Коммутируемый анализатор портов (SPAN) — копирует сетевой трафик из одного или нескольких портов коммутатора в другой порт коммутатора на том же коммутаторе. Шлюз ATA и контроллеры домена должны быть подключены к одному физическому коммутатору.
Анализатор портов удаленного коммутатора (RSPAN) — позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам. RSPAN копирует исходный трафик в специальную виртуальную локальную сеть RSPAN, настроенную. Эту виртуальную локальную сеть необходимо перенастраивать к другим задействованным коммутаторам. RSPAN работает на уровне 2.
Инкапсулированный анализатор портов удаленного коммутатора (ERSPAN) — это собственная технология Cisco, работающая на уровне 3. ERSPAN позволяет отслеживать трафик между коммутаторами без использования магистралей виртуальной локальной сети. ERSPAN использует универсальную инкапсуляцию маршрутизации (GRE) для копирования отслеживаемого сетевого трафика. Сейчас ATA не может напрямую получать трафик ERSPAN. Для работы ATA с трафиком ERSPAN коммутатор или маршрутизатор, который может декапсулировать трафик, необходимо настроить в качестве назначения ERSPAN, где трафик декапсулирован. Затем настройте коммутатор или маршрутизатор для перенаправления обезглавленного трафика в шлюз ATA с помощью SPAN или RSPAN.
Примечание.
Если контроллер домена, для которого выполняется зеркальное отображение порта, подключен по каналу глобальной сети, убедитесь, что канал глобальной сети может обрабатывать дополнительную нагрузку трафика ERSPAN. ATA поддерживает мониторинг трафика только в том случае, если трафик достигает сетевой карты и контроллера домена одинаковым образом. ATA не поддерживает мониторинг трафика, когда трафик прерывается на разные порты.
Поддерживаемые параметры зеркального отображения портов
| Шлюз ATA | Контроллер домена | Рекомендации |
|---|---|---|
| Виртуальный | Виртуальный на том же узле | Виртуальный коммутатор должен поддерживать зеркальное отображение портов. Перемещение одной из виртуальных машин на другой узел само по себе может нарушить зеркальное отображение портов. |
| Виртуальный | Виртуальный на разных узлах | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий. |
| Виртуальный | Физический | Требуется выделенный сетевой адаптер, в противном случае ATA видит весь трафик, поступающий и исходящий из узла, даже трафик, отправляемый в Центр ATA. |
| Физический | Виртуальный | Убедитесь, что виртуальный коммутатор поддерживает этот сценарий и конфигурацию зеркального отображения портов в физических коммутаторах на основе сценария: Если виртуальный узел находится на том же физическом коммутаторе, необходимо настроить диапазон уровней коммутатора. Если виртуальный узел находится на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*. |
| Физический | Физический на том же коммутаторе | Физический коммутатор должен поддерживать зеркальное отображение span/port. |
| Физический | Физический на другом коммутаторе | Требуются физические коммутаторы для поддержки RSPAN или ERSPAN*. |
* ERSPAN поддерживается только в том случае, если декапсуляция выполняется до анализа трафика ATA.
Примечание.
Убедитесь, что контроллеры домена и шлюзы ATA, к которым они подключаются, синхронизированы в течение пяти минут друг от друга.
Если вы работаете с кластерами виртуализации:
- Для каждого контроллера домена, работающего в кластере виртуализации на виртуальной машине со шлюзом ATA, настройте сходство между контроллером домена и шлюзом ATA. Таким образом, при перемещении контроллера домена на другой узел в кластере шлюз ATA следует за ним. Это хорошо работает при наличии нескольких контроллеров домена.
Примечание.
Если ваша среда поддерживает virtual to Virtual на разных узлах (RSPAN), вам не нужно беспокоиться о сходстве.
- Чтобы убедиться, что шлюзы ATA имеют правильный размер для самостоятельного мониторинга всех контроллеров домена, попробуйте установить виртуальную машину на каждом узле виртуализации и установить шлюз ATA на каждом узле. Настройте каждый шлюз ATA для мониторинга всех контроллеров домена, работающих в кластере. Таким образом, отслеживается любой узел, на котором работают контроллеры домена.
После настройки зеркального отображения портов перед установкой шлюза ATA убедитесь, что зеркальное отображение портов работает.