配置端口镜像

适用于:高级威胁分析版本 1.9

注意

本文仅适用于部署 ATA 网关,而不是 ATA 轻型网关。 要确定是否需要使用 ATA 网关,请参阅为部署选择正确的网关

ATA 使用的数据主要来自于对传入和传出域控制器的网络流量执行的深入数据包检查。 要让 ATA 查看网络流量,必须配置端口镜像,或使用网络 TAP。

对于端口镜像,请将要监视的每个域控制器的端口镜像配置为网络流量的源。 通常,需要与网络或虚拟化团队协作来配置端口镜像。 有关详细信息,请参阅供应商的文档。

域控制器和 ATA 网关可以是物理的,也可以是虚拟的。 以下内容是端口镜像的常见方法以及一些注意事项。 有关详细信息,请参阅交换机或虚拟化服务器的产品文档。 交换机制造商可能会使用不同术语。

交换机端口分析器 (SPAN) – 将网络流量从一个或多个交换机端口复制到同一交换机上的另一个交换机端口。 ATA 网关和域控制器都必须连接到同一个物理交换机。

远程交换机端口分析器 (RSPAN) – 允许监视分布在多个物理交换机上的源端口的网络流量。 RSPAN 会将源流量复制到配置了特殊 RSPAN 的 VLAN 中。 此 VLAN 需要中继到所涉及的其他交换机。 RSPAN 在第 2 层工作。

封装的远程交换机端口分析器 (ERSPAN) – 这是一种在第 3 层工作的 Cisco 专有技术。 使用 ERSPAN 可以监视交换机之间的流量,且无需 VLAN 中继。 ERSPAN 使用通用路由封装 (GRE) 来复制受监视的网络流量。 ATA 当前无法直接接收 ERSPAN 流量。 要使 ATA 能够处理 ERSPAN 流量,需要将能够解封流量的交换机或路由器配置为解封流量的 ERSPAN 目标。 然后,将交换机或路由器配置为使用 SPAN 或 RSPAN 将解封的流量转发到 ATA 网关。

注意

如果端口镜像的域控制器是通过 WAN 链接连接的,请确保 WAN 链接能够处理 ERSPAN 流量的额外负载。 只有当流量以相同的方式到达 NIC 和域控制器时,ATA 才支持流量监视。 当流量分散到不同端口时,ATA 不支持流量监视。

支持的端口镜像选项

ATA 网关 域控制器 注意事项
虚拟 在同一主机上进行虚拟 虚拟交换机需要支持端口镜像。

将其中一个虚拟机移动到另一台主机可能会破坏端口镜像。
虚拟 在不同主机上进行虚拟 请确保虚拟交换机支持此方案。
虚拟 物理 需要一个专用网络适配器,否则 ATA 将看到传入和传出主机的所有流量,即使是发送到 ATA 中心的流量。
物理 虚拟 确保虚拟交换机支持此方案,并根据方案在物理交换机上进行端口镜像配置:

如果虚拟主机位于同一物理交换机,则需要配置交换机的级别跨度。

如果虚拟主机位于另一个交换机上,则需要配置 RSPAN 或 ERSPAN*。
物理 在同一交换机上进行物理 物理交换机必须支持 SPAN/端口镜像。
物理 在不同交换机上进行物理 需要物理交换机才能支持 RSPAN 或 ERSPAN*。

* 仅在 ATA 分析流量之前执行解封时,才支持 ERSPAN。

注意

确保域控制器和它们所连接的 ATA 网关的时间同步在彼此的五分钟之内。

如果使用的是虚拟群集:

  • 对于在具有 ATA 网关的虚拟机上运行的虚拟群集上的每个域控制器,请配置域控制器与 ATA 网关之间的相关性。 这样,当域控制器移动到群集中的另一台主机时,ATA 网关也会跟着它移动。 当有多个域控制器时,这会很有效。

注意

如果环境支持不同主机上的虚拟到虚拟 (RSPAN),则无需担心相关性。

  • 要确保 ATA 网关的大小合适,能够自行监视所有 DC,请尝试此选项:在每个虚拟化主机上安装一个虚拟机,并在每台主机上安装一个 ATA 网关。 配置每个 ATA 网关,以监视群集上运行的所有域控制器。 这样,就可以监视运行域控制器的任何主机了。

配置端口镜像后,请在安装 ATA 网关之前验证端口镜像是否正常工作。

另请参阅