設定埠鏡像
適用於:Advanced Threat Analytics 1.9 版
注意事項
本文只有在您部署 ATA 閘道而非 ATA 輕量型閘道時才相關。 若要判斷您是否需要使用 ATA 閘道,請參閱 選擇適合您部署的閘道。
ATA 使用的主要數據源是深入的封包檢查您域控制器的網路流量。 若要讓 ATA 查看網路流量,您必須設定埠鏡像,或使用網路 TAP。
針對埠鏡像,設定要監視之每個域控制器的 埠鏡像 ,作為網路流量的 來源 。 一般而言,您需要與網路或虛擬化小組合作,以設定埠鏡像。 如需詳細資訊,請參閱廠商的檔。
您的域控制器和 ATA 閘道可以是實體或虛擬。 以下是埠鏡像的常見方法和一些考慮。 如需詳細資訊,請參閱您的交換器或虛擬化伺服器產品檔。 您的交換器製造商可能會使用不同的術語。
Switch Port Analyzer (SPAN) – 將網路流量從一或多個交換器埠複製到相同交換器上的另一個交換器埠。 ATA 閘道和域控制器都必須連線到相同的實體交換器。
遠端交換器埠分析器 (RSPAN) – 可讓您監視透過多個實體交換器散發之來源埠的網路流量。 RSPAN 會將來源流量複製到設定的特殊 RSPAN VLAN。 此 VLAN 必須主幹到其他相關的交換器。 RSPAN 適用於第 2 層。
封裝遠端交換器埠分析器 (ERSPAN) – Cisco 專屬技術是否適用於第 3 層。 ERSPAN 可讓您監視跨交換器的流量,而不需要 VLAN 主幹。 ERSPAN 會使用一般路由封裝 (GRE) 來複製受監視的網路流量。 ATA 目前無法直接接收 ERSPAN 流量。 若要讓 ATA 使用 ERSPAN 流量,可以解除封裝流量的交換器或路由器必須設定為 ERSPAN 的目的地,以將流量解除封裝。 然後設定交換器或路由器,使用SPAN或 RSPAN 將已解除封裝的流量轉送至 ATA 閘道。
注意事項
如果埠鏡像的域控制器透過WAN 連結連線,請確定WAN連結可以處理 ERSPAN 流量的額外負載。 ATA 只支援流量以相同方式到達 NIC 和域控制器時的流量監視。 ATA 不支持當流量中斷至不同埠時的流量監視。
支援的埠鏡像選項
| ATA 閘道 | 域控制器 | 考量 |
|---|---|---|
| 虛擬 | 相同主機上的虛擬 | 虛擬交換器需要支援埠鏡像。 將其中一部虛擬機單獨移至另一部主機可能會中斷埠鏡像。 |
| 虛擬 | 不同主機上的虛擬 | 請確定您的虛擬交換器支援此案例。 |
| 虛擬 | 物理的 | 需要專用的網路適配器,否則 ATA 會看到進出主機的所有流量,甚至是傳送至 ATA 中心的流量。 |
| 物理的 | 虛擬 | 請確定您的虛擬交換器支援此案例,並根據案例在實體交換器上進行埠鏡像設定: 如果虛擬主機位於相同的實體交換器上,您必須設定交換器層級範圍。 如果虛擬主機位於不同的交換器上,您必須設定 RSPAN 或 ERSPAN*。 |
| 物理的 | 相同交換器上的實體 | 實體交換器必須支援SPAN/埠鏡像。 |
| 物理的 | 不同交換器上的實體 | 需要實體參數才能支援 RSPAN 或 ERSPAN*。 |
* 只有在 ATA 分析流量之前執行中斷時,才支援 ERSPAN。
注意事項
請確定它們所連線的域控制器和 ATA 閘道已將時間同步至彼此相隔五分鐘內。
如果您使用虛擬化叢集:
- 針對在具有 ATA 閘道的虛擬機器虛擬化叢集上執行的每個域控制器,設定域控制器與 ATA 閘道之間的親和性。 如此一來,當域控制器移至叢集中的另一部主機時,ATA 閘道就會跟著它。 當有幾個域控制器時,這非常有用。
注意事項
如果您的環境支援不同主機上的 Virtual to Virtual (RSPAN) 您就不需要擔心同質。
- 若要確定 ATA 閘道的大小正確,以自行處理所有 DC 的監視,請嘗試此選項:在每個虛擬化主機上安裝虛擬機,並在每個主機上安裝 ATA 閘道。 設定每個 ATA 閘道來監視在叢集上執行的所有域控制器。 如此一來,就會監視域控制器執行所在的任何主機。
設定埠鏡像之後,請先驗證埠鏡像是否正常運作,再安裝 ATA 閘道。