配置端口镜像
适用于:高级威胁分析版本 1.9
注意
仅当部署 ATA 网关而不是 ATA 轻型网关时,本文才相关。 若要确定是否需要使用 ATA 网关,请参阅 为部署选择正确的网关。
ATA 使用的main数据源是对传入和传出域控制器的网络流量进行深度数据包检查。 若要使 ATA 查看网络流量,必须配置端口镜像或使用网络 TAP。
对于端口镜像,请将要监视的每个域控制器的 端口镜像 配置为网络流量的 源 。 通常,需要与网络或虚拟化团队合作来配置端口镜像。 有关详细信息,请参阅供应商的文档。
域控制器和 ATA 网关可以是物理网关,也可以是虚拟网关。 以下是端口镜像的常见方法和一些注意事项。 有关详细信息,请参阅交换机或虚拟化服务器产品文档。 交换机制造商可能使用不同的术语。
交换端口分析器 (SPAN) – 将网络流量从一个或多个交换机端口复制到同一交换机上的另一个交换机端口。 ATA 网关和域控制器必须连接到同一物理交换机。
远程交换机端口分析器 (RSPAN) – 允许监视来自分布在多个物理交换机上的源端口的网络流量。 RSPAN 将源流量复制到配置了 RSPAN 的特殊 VLAN 中。 此 VLAN 需要中继到涉及的其他交换机。 RSPAN 适用于第 2 层。
封装的远程交换机端口分析器 (ERSPAN) - 是一种在第 3 层工作的 Cisco 专有技术。 ERSPAN 允许监视交换机之间的流量,而无需 VLAN 中继。 ERSPAN 使用通用路由封装 (GRE) 来复制受监视的网络流量。 ATA 当前无法直接接收 ERSPAN 流量。 要使 ATA 能够处理 ERSPAN 流量,需要将可以解除流量的交换机或路由器配置为 ERSPAN 的目标,其中流量被解封。 然后,将交换机或路由器配置为使用 SPAN 或 RSPAN 将解封的流量转发到 ATA 网关。
注意
如果端口镜像的域控制器通过 WAN 链接进行连接,请确保 WAN 链路可以处理 ERSPAN 流量的额外负载。 ATA 仅支持流量以相同方式到达 NIC 和域控制器时进行流量监视。 当流量被分解到不同的端口时,ATA 不支持流量监视。
支持的端口镜像选项
| ATA 网关 | 域控制器 | 注意事项 |
|---|---|---|
| 虚拟 | 同一主机上的虚拟 | 虚拟交换机需要支持端口镜像。 将一个虚拟机单独移动到另一台主机可能会中断端口镜像。 |
| 虚拟 | 不同主机上的虚拟 | 请确保虚拟交换机支持此方案。 |
| 虚拟 | 物理的 | 需要专用网络适配器,否则 ATA 将看到传入和传出主机的所有流量,甚至是发送到 ATA 中心的流量。 |
| 物理的 | 虚拟 | 确保虚拟交换机支持此方案 , 以及基于方案的物理交换机上的端口镜像配置: 如果虚拟主机位于同一物理交换机上,则需要配置交换机级别范围。 如果虚拟主机位于其他交换机上,则需要配置 RSPAN 或 ERSPAN*。 |
| 物理的 | 同一交换机上的物理 | 物理交换机必须支持 SPAN/端口镜像。 |
| 物理的 | 不同交换机上的物理 | 需要物理交换机才能支持 RSPAN 或 ERSPAN*。 |
* 仅当在 ATA 分析流量之前执行解包时,才支持 ERSPAN。
注意
确保域控制器和它们连接到的 ATA 网关在五分钟内同步到彼此的时间。
如果使用虚拟化群集:
- 对于在具有 ATA 网关的虚拟机中的虚拟化群集上运行的每个域控制器,请在域控制器和 ATA 网关之间配置相关性。 这样,当域控制器移动到群集中的另一个主机时,ATA 网关会跟随它。 当存在几个域控制器时,这很有效。
注意
如果环境支持不同主机上的虚拟到虚拟 (RSPAN) 则无需担心相关性。
- 若要确保正确调整 ATA 网关的大小以自行监视所有 DC,请尝试以下选项:在每个虚拟化主机上安装虚拟机,并在每个主机上安装 ATA 网关。 配置每个 ATA 网关以监视群集上运行的所有域控制器。 这样,将监视运行域控制器的任何主机。
配置端口镜像后,请在安装 ATA 网关之前验证端口镜像是否正常工作。