Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Настройка зеркального отображения портовConfigure Port Mirroring

Примечание

Эта статья имеет отношение только к развертыванию шлюзов ATA, а не упрощенных шлюзов ATA.This article is relevant only if you deploy ATA Gateways instead of ATA Lightweight Gateways. Чтобы определить, нужно ли использовать шлюзы ATA, см. раздел о выборе правильных шлюзов для развертывания.To determine if you need to use ATA Gateways, see Choosing the right gateways for your deployment.

Основные сведения, требуемые для работы ATA, решение получает посредством тщательного анализа пакетов входящего и исходящего сетевого трафика контроллеров домена.The main data source used by ATA is deep packet inspection of the network traffic to and from your domain controllers. Чтобы предоставить решению ATA доступ к сетевому трафику, необходимо настроить зеркальное отображение портов или использовать перехватчик трафика.For ATA to see the network traffic, you must either configure port mirroring, or use a Network TAP.

Зеркальное отображение портов следует настроить в качестве средства получения сетевого трафика для каждого контроллера домена, который необходимо отслеживать.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. Как правило, чтобы настроить зеркальное отображение портов, следует привлечь специалистов по обслуживанию сети или группу виртуализации.Typically, you need to work with the networking or virtualization team to configure port mirroring. Дополнительные сведения см. в документации поставщика.For more information, see your vendor's documentation.

Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными.Your domain controllers and ATA Gateways can be either physical or virtual. Ниже приведены распространенные технологии зеркального отображения портов и некоторые связанные рекомендации.The following are common methods for port mirroring and some considerations. Дополнительные сведения см. в документации по вашему коммутатору или серверу виртуализации.For more information, see your switch or virtualization server product documentation. Изготовитель коммутатора может использовать другую терминологию.Your switch manufacturer might use different terminology.

Switched Port Analyzer (SPAN) — эта технология копирует сетевой трафик из одного или нескольких коммутируемых портов на другой коммутируемый порт на одном коммутаторе.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. Контроллеры домена и шлюз ATA должны быть подключены к одному физическому коммутатору.Both the ATA Gateway and domain controllers must be connected to the same physical switch.

Remote Switch Port Analyzer (RSPAN) — эта технология позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSPAN копирует исходящий трафик в специальную виртуальную ЛС, настроенную для RSPAN.RSPAN copies the source traffic into a special RSPAN configured VLAN. Необходимо настроить магистральные линии связи между этой виртуальной ЛС и другими вовлеченными коммутаторами.This VLAN needs to be trunked to the other switches involved. RSPAN работает на уровне 2.RSPAN works at Layer 2.

Encapsulated Remote Switch Port Analyzer (ERSPAN) — это технология компании Cisco, которая работает на уровне 3.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. ERSPAN позволяет отслеживать трафик между коммутаторами, при этом магистральные линии связи для виртуальной ЛС не требуются.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. Для копирования отслеживаемого сетевого трафика эта технология использует общую инкапсуляцию маршрутов (Generic Routing Encapsulation, GRE).ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. В настоящее время трафик ERSPAN не может поступать непосредственно в ATA.ATA currently cannot directly receive ERSPAN traffic. Чтобы направить трафик ERSPAN в решение ATA, необходимо настроить коммутатор или маршрутизатор, который может декапсулировать исходящий трафик, в качестве пункта назначения для ERSPAN, где и выполнится декапсуляция.For ATA to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic is decapsulated. Затем настройте коммутатор или маршрутизатор для переадресации декапсулированого трафика к шлюзу ATA, используя SPAN или RSPAN.Then configure the switch or router to forward the decapsulated traffic to the ATA Gateway using either SPAN or RSPAN.

Примечание

Если контроллер домена с зеркальным отображением портов подключен через глобальную сеть, убедитесь, что эта сеть может обрабатывать дополнительную нагрузку в виде трафика ERSPAN.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. ATA поддерживает мониторинг трафика только тогда, когда трафик достигает сетевой карты и контроллера домена одним и тем же образом.ATA only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. ATA не поддерживает мониторинг трафика, когда трафик разбивается на различные порты.ATA does not support traffic monitoring when the traffic is broken out to different ports.

Поддерживаемые варианты зеркального отображения портовSupported port mirroring options

Шлюз ATAATA Gateway Контроллер доменаDomain Controller РекомендацииConsiderations
ВиртуальнаяVirtual Виртуальный на том же узлеVirtual on same host Виртуальный коммутатор должен поддерживать зеркальное отображение портов.The virtual switch needs to support port mirroring.

Перемещение одной из виртуальных машин на другой узел может нарушить зеркальное отображение портов.Moving one of the virtual machines to another host by itself may break the port mirroring.
ВиртуальнаяVirtual Виртуальный на других узлахVirtual on different hosts Убедитесь, что виртуальный коммутатор поддерживает такой сценарий.Make sure your virtual switch supports this scenario.
ВиртуальнаяVirtual ФизическаяPhysical Требуется отдельный сетевой адаптер, иначе ATA просмотрит весь исходящий и входящий трафик узла, в том числе трафик, отправляемый в центр ATA.Requires a dedicated network adapter otherwise ATA sees all of the traffic coming in and out of the host, even the traffic it sends to the ATA Center.
ФизическаяPhysical ВиртуальнаяVirtual Убедитесь, что виртуальный коммутатор поддерживает этот сценарий и конфигурацию зеркального отображения портов на физических коммутаторах в рамках этого сценария:Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Если виртуальный узел расположен на одном и том же физическом коммутаторе, необходимо настроить SPAN на уровне коммутатора.If the virtual host is on the same physical switch, you need to configure a switch level span.

Если виртуальный узел расположен на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*.If the virtual host is on a different switch, you need to configure RSPAN or ERSPAN*.
ФизическаяPhysical Физический на том же коммутатореPhysical on the same switch Физический коммутатор должен поддерживать SPAN и зеркальное отображение портов.Physical switch must support SPAN/Port Mirroring.
ФизическаяPhysical Физический на другом коммутатореPhysical on a different switch Требуются физические коммутаторы, поддерживающие RSPAN или ERSPAN*.Requires physical switches to support RSPAN or ERSPAN*.

* ERSPAN поддерживается только в том случае, если декапсуляция выполняется до анализа трафика решением ATA.* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by ATA.

Примечание

Время контроллеров домена и шлюзов ATA, к которым они подключаются, должно быть синхронизировано в пределах пяти минут.Make sure that domain controllers and the ATA Gateways to which they connect have time synchronized to within five minutes of each other.

При работе с кластерами виртуализации:If you are working with virtualization clusters:

  • Настройте сопоставление между контроллером домена и шлюзом ATA для каждого контроллера домена в кластере виртуализации на виртуальной машине со шлюзом ATA.For each domain controller running on the virtualization cluster in a virtual machine with the ATA Gateway, configure affinity between the domain controller and the ATA Gateway. Таким образом при перемещении контроллера домена на другой узел в кластере шлюз ATA останется привязанным к нему.This way when the domain controller moves to another host in the cluster the ATA Gateway follows it. Такая конфигурация подходит при наличии нескольких контроллеров домена.This works well when there are a few domain controllers. > [!NOTE] > Если среда поддерживает преобразование виртуальной машины в виртуальную машину на других узлах (RSPAN), не нужно беспокоиться о сходстве.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity. >
  • Чтобы правильно подобрать размеры шлюзов ATA для мониторинга всех контроллеров домена, необходимо установить виртуальную машину на каждом узле виртуализации, а шлюз ATA — на каждом узле.To make sure the ATA Gateways are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install an ATA Gateway on each host. Затем настройте каждый шлюз ATA для мониторинга всех контроллеров домена в кластере.Configure each ATA Gateway to monitor all of the domain controllers that run on the cluster. Таким образом отслеживается каждый узел, на котором работают контроллеры домена.This way, any host the domain controllers run on is monitored.

Прежде чем установить шлюз ATA, проверьте, что настроенное зеркальное отображение портов работает надлежащим образом.After configuring port mirroring, validate that port mirroring is working before installing the ATA Gateway.

См. такжеSee Also