Konfigurera portspegling
Gäller för: Advanced Threat Analytics version 1.9
Obs!
Den här artikeln är endast relevant om du distribuerar ATA-gatewayer i stället för ATA Lightweight Gateways. Information om hur du tar reda på om du behöver använda ATA-gatewayer finns i Välja rätt gatewayer för distributionen.
Huvuddatakällan som används av ATA är djup paketinspektion av nätverkstrafiken till och från domänkontrollanterna. För att ATA ska kunna se nätverkstrafiken måste du antingen konfigurera portspegling eller använda en nätverks-TAP.
För portspegling konfigurerar du portspegling för varje domänkontrollant som ska övervakas som källa för nätverkstrafiken. Vanligtvis behöver du arbeta med nätverks- eller virtualiseringsteamet för att konfigurera portspegling. Mer information finns i leverantörens dokumentation.
Dina domänkontrollanter och ATA-gatewayer kan vara antingen fysiska eller virtuella. Följande är vanliga metoder för portspegling och vissa överväganden. Mer information finns i produktdokumentationen för växeln eller virtualiseringsservern. Växeltillverkaren kan använda en annan terminologi.
Span (Switched Port Analyzer) – Kopierar nätverkstrafik från en eller flera växelportar till en annan växelport på samma växel. Både ATA Gateway och domänkontrollanter måste vara anslutna till samma fysiska växel.
RSPAN (Remote Switch Port Analyzer) – Gör att du kan övervaka nätverkstrafik från källportar som distribueras över flera fysiska växlar. RSPAN kopierar källtrafiken till en särskild RSPAN-konfigurerad VLAN. Detta VLAN måste trunkeras till de andra växlar som är inblandade. RSPAN fungerar på Layer 2.
ERSPAN (Encapsulated Remote Switch Port Analyzer) – är en Cisco-patentskyddad teknik som fungerar på Layer 3. Med ERSPAN kan du övervaka trafik över växlar utan att behöva VLAN-trunkar. ERSPAN använder allmän routningssammankapsling (GRE) för att kopiera övervakad nätverkstrafik. ATA kan för närvarande inte ta emot ERSPAN-trafik direkt. För att ATA ska fungera med ERSPAN-trafik måste en växel eller router som kan avkapsla trafiken konfigureras som mål för ERSPAN där trafiken avkapslas. Konfigurera sedan växeln eller routern för att vidarebefordra den avkapslade trafiken till ATA Gateway med antingen SPAN eller RSPAN.
Obs!
Om domänkontrollanten som speglas av porten är ansluten via en WAN-länk kontrollerar du att WAN-länken kan hantera den extra belastningen på ERSPAN-trafiken. ATA stöder endast trafikövervakning när trafiken når nätverkskortet och domänkontrollanten på samma sätt. ATA stöder inte trafikövervakning när trafiken delas upp till olika portar.
Alternativ för portspegling som stöds
| ATA Gateway | Domänkontrollant | Överväganden |
|---|---|---|
| Virtuell | Virtuell på samma värd | Den virtuella växeln måste ha stöd för portspegling. Om du flyttar en av de virtuella datorerna till en annan värd kan portspeglingen brytas. |
| Virtuell | Virtuellt på olika värdar | Kontrollera att den virtuella växeln stöder det här scenariot. |
| Virtuell | Fysisk | Kräver ett dedikerat nätverkskort annars ser ATA all trafik som kommer in och ut från värden, även den trafik som skickas till ATA Center. |
| Fysisk | Virtuell | Kontrollera att den virtuella växeln stöder det här scenariot – och konfiguration av portspegling på dina fysiska växlar baserat på scenariot: Om den virtuella värden finns på samma fysiska växel måste du konfigurera ett intervall på växelnivå. Om den virtuella värden är på en annan växel måste du konfigurera RSPAN eller ERSPAN*. |
| Fysisk | Fysisk på samma växel | Den fysiska växeln måste ha stöd för SPAN/portspegling. |
| Fysisk | Fysisk på en annan växel | Kräver fysiska växlar för att stödja RSPAN eller ERSPAN*. |
* ERSPAN stöds endast när avkapsling utförs innan trafiken analyseras av ATA.
Obs!
Kontrollera att domänkontrollanter och ATA Gateways som de ansluter till har tid synkroniserats till inom fem minuter från varandra.
Om du arbetar med virtualiseringskluster:
- För varje domänkontrollant som körs i virtualiseringsklustret på en virtuell dator med ATA Gateway konfigurerar du tillhörigheten mellan domänkontrollanten och ATA Gateway. På så sätt när domänkontrollanten flyttar till en annan värd i klustret följer ATA Gateway den. Detta fungerar bra när det finns några domänkontrollanter.
Obs!
Om din miljö stöder virtuell till virtuell på olika värdar (RSPAN) behöver du inte bekymra dig om tillhörighet.
- Kontrollera att ATA-gatewayerna har rätt storlek för att hantera övervakningen av alla domänkontrollanter själva genom att prova det här alternativet: Installera en virtuell dator på varje virtualiseringsvärd och installera en ATA-gateway på varje värd. Konfigurera varje ATA Gateway för att övervaka alla domänkontrollanter som körs i klustret. På så sätt övervakas alla värdar som domänkontrollanterna körs på.
När du har konfigurerat portspegling kontrollerar du att portspegling fungerar innan du installerar ATA Gateway.