Применяется к Advanced Threat Analytics версии 1.8

Настройка зеркального отображения портов

Примечание

Эта статья имеет отношение только к развертыванию шлюзов ATA, а не упрощенных шлюзов ATA. Чтобы определить, нужно ли использовать шлюзы ATA, см. раздел о выборе правильных шлюзов для развертывания.

Основные сведения, требуемые для работы ATA, решение получает посредством тщательного анализа пакетов входящего и исходящего сетевого трафика контроллеров домена. Чтобы предоставить решению ATA доступ к сетевому трафику, необходимо настроить зеркальное отображение портов или использовать перехватчик трафика.

Зеркальное отображение портов следует настроить в качестве средства получения сетевого трафика для каждого контроллера домена, который необходимо отслеживать. Как правило, чтобы настроить зеркальное отображение портов, вам понадобится привлечь специалистов по обслуживанию сети или группу виртуализации. Дополнительные сведения см. в документации поставщика.

Контроллеры домена и шлюзы ATA могут быть физическими или виртуальными. Ниже приведены распространенные технологии зеркального отображения портов и некоторые связанные рекомендации. Дополнительные сведения см. в документации по коммутатору или серверу виртуализации. Изготовитель коммутатора может использовать другую терминологию.

Switched Port Analyzer (SPAN) — эта технология копирует сетевой трафик из одного или нескольких коммутируемых портов на другой коммутируемый порт на одном коммутаторе. Контроллеры домена и шлюз ATA должны быть подключены к одному физическому коммутатору.

Remote Switch Port Analyzer (RSPAN) — эта технология позволяет отслеживать сетевой трафик из исходных портов, распределенных по нескольким физическим коммутаторам. RSPAN копирует исходящий трафик в специальную виртуальную ЛС, настроенную для RSPAN. Необходимо настроить магистральные линии связи между этой виртуальной ЛС и другими вовлеченными коммутаторами. RSPAN работает на уровне 2.

Encapsulated Remote Switch Port Analyzer (ERSPAN) — это технология компании Cisco, которая работает на уровне 3. ERSPAN позволяет отслеживать трафик между коммутаторами, при этом магистральные линии связи для виртуальной ЛС не требуются. Для копирования отслеживаемого сетевого трафика эта технология использует общую инкапсуляцию маршрутов (Generic Routing Encapsulation, GRE). В настоящее время трафик ERSPAN не может поступать непосредственно в ATA. Чтобы направить трафик ERSPAN в решение ATA, необходимо настроить коммутатор или маршрутизатор, который может декапсулировать исходящий трафик, в качестве пункта назначения для ERSPAN, где и будет выполнена декапсуляция. Затем для коммутатора или маршрутизатора необходимо настроить переадресацию трафика в шлюз ATA с помощью SPAN или RSPAN.

Примечание

Если контроллер домена с зеркальным отображением портов подключен через глобальную сеть, убедитесь, что эта сеть может обрабатывать дополнительную нагрузку в виде трафика ERSPAN. ATA поддерживает мониторинг трафика только тогда, когда трафик достигает сетевой карты и контроллера домена одним и тем же образом. ATA не поддерживает мониторинг трафика, когда трафик разбивается на различные порты.

Поддерживаемые варианты зеркального отображения портов

Шлюз ATA Контроллер домена Рекомендации
Виртуальная Виртуальный на том же узле Виртуальный коммутатор должен поддерживать зеркальное отображение портов.

Перемещение одной из виртуальных машин на другой узел может нарушить зеркальное отображение портов.
Виртуальная Виртуальный на других узлах Убедитесь, что виртуальный коммутатор поддерживает такой сценарий.
Виртуальная Физическая Требуется отдельный сетевой адаптер, иначе ATA будет просматривать весь исходящий и входящий трафик узла, в том числе трафик, отправляемый в центр ATA.
Физическая Виртуальная Убедитесь, что виртуальный коммутатор поддерживает этот сценарий и конфигурацию зеркального отображения портов на физических коммутаторах в рамках этого сценария:

если виртуальный узел расположен на одном и том же физическом коммутаторе, необходимо настроить SPAN на уровне коммутатора;

если виртуальный узел расположен на другом коммутаторе, необходимо настроить RSPAN или ERSPAN*.
Физическая Физический на том же коммутаторе Физический коммутатор должен поддерживать SPAN и зеркальное отображение портов.
Физическая Физический на другом коммутаторе Требуются физические коммутаторы, поддерживающие RSPAN или ERSPAN*.

* ERSPAN поддерживается только в том случае, если декапсуляция выполняется до анализа трафика решением ATA.

Примечание

Время контроллеров домена и шлюзов ATA, к которым они подключаются, должно быть синхронизировано в пределах 5 минут.

При работе с кластерами виртуализации:

  • Настройте сопоставление между контроллером домена и шлюзом ATA для каждого контроллера домена в кластере виртуализации на виртуальной машине со шлюзом ATA. Таким образом при перемещении контроллера домена на другой узел в кластере шлюз ATA останется привязанным к нему. Такая конфигурация подходит при наличии нескольких контроллеров домена. > [!NOTE] > Если среда поддерживает преобразование виртуальной машины в виртуальную машину на других узлах (RSPAN), не нужно беспокоиться о сходстве. >
  • Чтобы правильно подобрать размеры шлюзов ATA для мониторинга всех контроллеров домена, необходимо установить виртуальную машину на каждом узле виртуализации, а шлюз ATA — на каждом узле. Затем настройте каждый шлюз ATA для мониторинга всех контроллеров домена в кластере. Таким образом будет отслеживаться каждый узел, на котором работают контроллеры домена.

Прежде чем установить шлюз ATA, проверьте, что настроенное зеркальное отображение портов работает надлежащим образом.

См. также