Configurer la mise en miroir des portsConfigure Port Mirroring

S’applique à : Advanced Threat Analytics version 1.9Applies to: Advanced Threat Analytics version 1.9

Notes

Cet article ne vous concerne que si vous déployez des passerelles ATA au lieu de passerelles légères ATA.This article is relevant only if you deploy ATA Gateways instead of ATA Lightweight Gateways. Pour déterminer si vous devez utiliser des passerelles ATA, consultez Choix des passerelles appropriées pour votre déploiement.To determine if you need to use ATA Gateways, see Choosing the right gateways for your deployment.

La principale source de données utilisée par ATA est l’inspection approfondie des paquets du trafic réseau entrant et sortant de vos contrôleurs de domaine.The main data source used by ATA is deep packet inspection of the network traffic to and from your domain controllers. Pour qu’ATA puisse voir le trafic réseau, vous devez configurer la mise en miroir des ports ou utiliser un TAP réseau.For ATA to see the network traffic, you must either configure port mirroring, or use a Network TAP.

Pour la mise en miroir des ports, configurez-la pour chaque contrôleur de domaine à surveiller en tant que source du trafic réseau.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. En règle générale, vous devez collaborer avec l’équipe de virtualisation ou de mise en réseau pour configurer la mise en miroir des ports.Typically, you need to work with the networking or virtualization team to configure port mirroring. Pour plus d’informations, reportez-vous à la documentation de votre fournisseur.For more information, see your vendor's documentation.

Vos contrôleurs de domaine et vos passerelles ATA peuvent être physiques ou virtuels.Your domain controllers and ATA Gateways can be either physical or virtual. Voici les méthodes couramment employées dans le cadre de la mise en miroir des ports et quelques considérations à prendre en compte.The following are common methods for port mirroring and some considerations. Pour plus d’informations, reportez-vous à la documentation produit de votre commutateur ou de votre serveur de virtualisation.For more information, see your switch or virtualization server product documentation. Le fabricant de votre commutateur peut utiliser une terminologie différente.Your switch manufacturer might use different terminology.

SPAN (Switched Port Analyzer)  : copie le trafic réseau à partir d’un ou plusieurs ports de commutateur vers un autre port du même commutateur.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. La passerelle ATA et les contrôleurs de domaine doivent être connectés au même commutateur physique.Both the ATA Gateway and domain controllers must be connected to the same physical switch.

RSPAN (Remote Switch Port Analyzer)  : vous permet de surveiller le trafic réseau à partir de ports sources répartis sur plusieurs commutateurs physiques.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSPAN copie le trafic source dans un VLAN spécial configuré pour RSPAN.RSPAN copies the source traffic into a special RSPAN configured VLAN. Ce VLAN doit être relié en mode trunk aux autres commutateurs impliqués.This VLAN needs to be trunked to the other switches involved. RSPAN fonctionne sur la couche 2.RSPAN works at Layer 2.

ERSPAN (Encapsulated Remote Switch Port Analyzer)  : il s’agit d’une technologie propriétaire qui fonctionne sur la couche 3.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. ERSPAN vous permet de surveiller le trafic entre les commutateurs sans faire appel à des trunks VLAN.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. ERSPAN utilise le protocole GRE (Generic Routing Encapsulation) pour copier le trafic réseau surveillé.ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. ATA ne peut pas recevoir directement le trafic ERSPAN pour l’instant.ATA currently cannot directly receive ERSPAN traffic. Pour qu’ATA fonctionne avec le trafic ERSPAN, un commutateur ou un routeur capable de décapsuler le trafic doit être configuré comme destination d’ERSPAN à l’endroit où le trafic est décapsulé.For ATA to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic is decapsulated. Configurez ensuite le commutateur ou le routeur pour transférer le trafic décapsulé vers la passerelle ATA à l’aide de SPAN ou de RSPAN.Then configure the switch or router to forward the decapsulated traffic to the ATA Gateway using either SPAN or RSPAN.

Notes

Si le contrôleur de domaine faisant l’objet d’une mise en miroir des ports est connecté via une liaison WAN, vérifiez que celle-ci peut gérer la charge supplémentaire du trafic ERSPAN.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. ATA prend uniquement en charge la surveillance du trafic quand le trafic atteint la carte réseau et le contrôleur de domaine de la même manière.ATA only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. ATA ne prend pas en charge la surveillance du trafic quand celui-ci est réparti sur différents ports.ATA does not support traffic monitoring when the traffic is broken out to different ports.

Options de mise en miroir des ports prises en chargeSupported port mirroring options

Passerelle ATAATA Gateway Contrôleur de domaineDomain Controller ConsidérationsConsiderations
VirtuelleVirtual Virtuel sur le même hôteVirtual on same host Le commutateur virtuel doit prendre en charge la mise en miroir des ports.The virtual switch needs to support port mirroring.

Le fait de déplacer l’une des machines virtuelles vers un autre hôte où elle sera toute seule risque de briser la mise en miroir des ports.Moving one of the virtual machines to another host by itself may break the port mirroring.
VirtuelVirtual Virtuel sur des hôtes différentsVirtual on different hosts Vérifiez que votre commutateur virtuel prend en charge ce scénario.Make sure your virtual switch supports this scenario.
Les machinesVirtual PhysiquePhysical Nécessite une carte réseau dédiée ; sinon, ATA détecte tout le trafic entrant et sortant de l’hôte, même le trafic qu’il envoie au centre ATA.Requires a dedicated network adapter otherwise ATA sees all of the traffic coming in and out of the host, even the traffic it sends to the ATA Center.
PhysiquePhysical Les machinesVirtual Vérifiez que votre commutateur virtuel prend en charge ce scénario et configurez la mise en miroir des ports sur vos commutateurs physiques selon le cas :Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Si l’hôte virtuel se trouve sur le même commutateur physique, vous devez configurer SPAN au niveau du commutateur.If the virtual host is on the same physical switch, you need to configure a switch level span.

Si l’hôte virtuel se trouve sur un autre commutateur, vous devez configurer RSPAN ou ERSPAN*.If the virtual host is on a different switch, you need to configure RSPAN or ERSPAN*.
PhysiquePhysical Physique sur le même commutateurPhysical on the same switch Le commutateur physique doit prendre en charge SPAN/la mise en miroir des ports.Physical switch must support SPAN/Port Mirroring.
PhysiquePhysical Physique sur un autre commutateurPhysical on a different switch Exige que les commutateurs physiques prennent en charge RSPAN ou ERSPAN*.Requires physical switches to support RSPAN or ERSPAN*.

* ERSPAN est uniquement pris en charge quand la décapsulation est effectuée avant l’analyse du trafic par ATA.* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by ATA.

Notes

Vérifiez que l’heure des contrôleurs de domaine et des passerelles ATA auxquelles ils se connectent est synchronisée de manière à ce que tout écart entre eux ne dépasse pas cinq minutes.Make sure that domain controllers and the ATA Gateways to which they connect have time synchronized to within five minutes of each other.

Si vous travaillez avec des clusters de virtualisation :If you are working with virtualization clusters:

  • Pour chaque contrôleur de domaine en cours d’exécution sur le cluster de virtualisation dans une machine virtuelle avec la passerelle ATA, configurez l’affinité entre le contrôleur de domaine et la passerelle ATA.For each domain controller running on the virtualization cluster in a virtual machine with the ATA Gateway, configure affinity between the domain controller and the ATA Gateway. Ainsi, quand le contrôleur de domaine passe à un autre hôte dans le cluster, la passerelle ATA le suit.This way when the domain controller moves to another host in the cluster the ATA Gateway follows it. Cela fonctionne bien quand il y a quelques contrôleurs de domaine.This works well when there are a few domain controllers.

Notes

Si votre environnement prend en charge la configuration « virtuel à virtuel » sur différents hôtes (RSPAN), vous n’avez pas à vous soucier de l’affinité.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity.

  • Pour faire en sorte que les passerelles ATA soient correctement dimensionnées pour gérer par elles-mêmes le monitoring de tous les contrôleurs de domaine, essayez cette option : installez une machine virtuelle sur chaque hôte de virtualisation et une passerelle ATA sur chaque hôte.To make sure the ATA Gateways are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install an ATA Gateway on each host. Configurez chaque passerelle ATA de façon à surveiller tous les contrôleurs de domaine qui s’exécutent sur le cluster.Configure each ATA Gateway to monitor all of the domain controllers that run on the cluster. Ainsi, n’importe quel hôte sur lequel les contrôleurs de domaine s’exécutent est surveillé.This way, any host the domain controllers run on is monitored.

Après avoir configuré la mise en miroir des ports, validez son fonctionnement avant d’installer la passerelle ATA.After configuring port mirroring, validate that port mirroring is working before installing the ATA Gateway.

Voir aussiSee Also