Bağlantı noktası yansıtmayı yapılandırmaConfigure port mirroring

Not

Bu makale yalnızca Azure ATP sensörleri yerine Azure ATP tek başına sensörleri dağıtırsanız geçerlidir.This article is relevant only if you deploy Azure ATP standalone sensors instead of Azure ATP sensors. Azure ATP bağımsız algılayıcılarının kullanılması gerekip gerekmediğini belirlemek için bkz. dağıtımınız için doğru algılayıcılar seçme.To determine if you need to use Azure ATP standalone sensors, see Choosing the right sensors for your deployment.

Azure ATP tarafından kullanılan ana veri kaynağı, etki alanı Denetleyicilerinizden gelen ve giden ağ trafiğinin ayrıntılı paket incelemesini sağlar.The main data source used by Azure ATP is deep packet inspection of the network traffic to and from your domain controllers. Azure ATP 'nin ağ trafiğini görmesini sağlamak için, bağlantı noktası yansıtmayı yapılandırmanız veya bir ağ doku kullanmanız gerekir.For Azure ATP to see the network traffic, you must either configure port mirroring, or use a Network TAP.

Bağlantı noktası yansıtma için, izlenecek her etki alanı denetleyicisinde bağlantı noktası yansıtmayı ağ trafiğinin kaynağı olarak yapılandırın.For port mirroring, configure port mirroring for each domain controller to be monitored, as the source of the network traffic. Genellikle, bağlantı noktası yansıtmayı yapılandırmak için ağ veya sanallaştırma ekibiyle çalışmanız gerekir.Typically, you need to work with the networking or virtualization team to configure port mirroring. Daha fazla bilgi için satıcınızın belgelerine bakın.For more information, see your vendor's documentation.

Etki alanı denetleyicileriniz ve Azure ATP tek başına algılayıcısı fiziksel ya da sanal olabilir.Your domain controllers and Azure ATP standalone sensor can be either physical or virtual. Aşağıda, bağlantı noktası yansıtma için sık kullanılan yöntemler ve dikkat edilmesi gereken bazı noktalar verilmiştir.The following are common methods for port mirroring and some considerations. Daha fazla bilgi için, anahtar veya sanallaştırma sunucunuzun ürün belgelerine bakın.For more information, see your switch or virtualization server product documentation. Anahtar üreticiniz farklı bir terminoloji kullanıyor olabilir.Your switch manufacturer might use different terminology.

Anahtarlamalı Bağlantı Noktası Çözümleyicisi (SPAN) – Bir veya birden çok anahtar bağlantı noktasındaki ağ trafiğini, aynı anahtar üzerindeki başka bir anahtar bağlantı noktasına kopyalar.Switched Port Analyzer (SPAN) – Copies network traffic from one or more switch ports to another switch port on the same switch. Hem Azure ATP tek başına algılayıcısı hem de etki alanı denetleyicileri aynı fiziksel anahtara bağlanmalıdır.Both the Azure ATP standalone sensor and domain controllers must be connected to the same physical switch.

Uzak Anahtar Bağlantı Noktası Çözümleyicisi (RSPAN) – Birden çok fiziksel anahtar üzerine dağılmış kaynak bağlantı noktalarından ağ trafiğini izlemenize olanak tanır.Remote Switch Port Analyzer (RSPAN) – Allows you to monitor network traffic from source ports distributed over multiple physical switches. RSPAN, kaynak trafiği özel RSPAN yapılandırmalı VLAN’a kopyalar.RSPAN copies the source traffic into a special RSPAN configured VLAN. Bu VLAN, işleme katılan diğer anahtarlara santral oluşturması gerekir.This VLAN needs to be trunked to the other switches involved. RSPAN, Katman 2’de çalışır.RSPAN works at Layer 2.

Kapsüllenen Uzak Anahtar Bağlantı Noktası Çözümleyicisi (ERSPAN) – Katman 3’te çalışan Cisco’ya özel bir teknolojidir.Encapsulated Remote Switch Port Analyzer (ERSPAN) – Is a Cisco proprietary technology working at Layer 3. ERSPAN, VLAN santrallerine gerek kalmadan anahtarlar arasındaki trafiği izlemenize olanak tanır.ERSPAN allows you to monitor traffic across switches without the need for VLAN trunks. ERSPAN izlenen ağ trafiğini kopyalamak için genel yönlendirme kapsüllemesini (GRE) kullanır.ERSPAN uses generic routing encapsulation (GRE) to copy monitored network traffic. Azure ATP Şu anda doğrudan ERSPAN trafiği alamıyor.Azure ATP currently cannot directly receive ERSPAN traffic. Azure ATP 'nin, ERSPAN trafiğiyle çalışması için trafiğin kapsülden çıkarılan olduğu ERSPAN hedefi olarak kapsülden çıkarır bir anahtar veya yönlendirici yapılandırılması gerekir.For Azure ATP to work with ERSPAN traffic, a switch or router that can decapsulate the traffic needs to be configured as the destination of ERSPAN where the traffic is decapsulated. Ardından, anahtar veya yönlendiriciyi, kapsülden çıkarılan trafiğini, SPAN veya RSPAN kullanarak Azure ATP tek başına sensöre iletecek şekilde yapılandırın.Then configure the switch or router to forward the decapsulated traffic to the Azure ATP standalone sensor using either SPAN or RSPAN.

Not

Bağlantı noktası yansıtılan etki alanı denetleyicisi bir WAN bağlantısı üzerinden bağlanıyorsa, WAN bağlantısının ERSPAN trafiğinden gelen ek yükü işleyebileceğinden emin olun.If the domain controller being port mirrored is connected over a WAN link, make sure the WAN link can handle the additional load of the ERSPAN traffic. Azure ATP yalnızca trafik, NIC 'ye ve etki alanı denetleyicisine aynı şekilde ulaştığında trafik izlemeyi destekler.Azure ATP only supports traffic monitoring when the traffic reaches the NIC and the domain controller in the same manner. Trafik farklı bağlantı noktalarına kesildiğinde Azure ATP trafik izlemeyi desteklemez.Azure ATP does not support traffic monitoring when the traffic is broken out to different ports.

Desteklenen bağlantı noktası yansıtma seçenekleriSupported port mirroring options

Azure ATP tek başına algılayıcısıAzure ATP standalone sensor Etki Alanı DenetleyicisiDomain Controller Dikkat edilecek noktalarConsiderations
SanalVirtual Aynı ana bilgisayarda sanalVirtual on same host Sanal anahtarın bağlantı noktası yansıtmayı desteklemesi gerekir.The virtual switch needs to support port mirroring.

Sanal makinelerden birinin kendi başına başka bir ana bilgisayara taşınması, bağlantı noktası yansıtmanın kesilmesine neden olabilir.Moving one of the virtual machines to another host by itself may break the port mirroring.
SanalVirtual Farklı ana bilgisayarlarda sanalVirtual on different hosts Sanal anahtarınızın bu senaryoyu desteklediğinden emin olun.Make sure your virtual switch supports this scenario.
SanalVirtual FizikselPhysical Adanmış bir ağ bağdaştırıcısı gerektirir, aksi takdirde Azure ATP, ana bilgisayardan gelen ve giden trafiği, Azure ATP bulut hizmetine gönderdiği trafiği bile görür.Requires a dedicated network adapter otherwise Azure ATP sees all of the traffic coming in and out of the host, even the traffic it sends to the Azure ATP cloud service.
FizikselPhysical SanalVirtual Sanal anahtarınızın bu senaryoyu desteklediğinden ve fiziksel anahtarlarınızdaki bağlantı noktası yansıtmanın senaryoyu temel aldığından emin olun:Make sure your virtual switch supports this scenario - and port mirroring configuration on your physical switches based on the scenario:

Sanal ana bilgisayar aynı fiziksel anahtarda ise, anahtar düzeyinde bir yayılma yapılandırmanız gerekir.If the virtual host is on the same physical switch, you need to configure a switch level span.

Sanal ana bilgisayar farklı bir anahtaralıyorsa, RSPAN veya ERSPAN*'yi yapılandırmanız gerekir.If the virtual host is on a different switch, you need to configure RSPAN or ERSPAN*.
FizikselPhysical Aynı anahtarda fizikselPhysical on the same switch Fiziksel anahtar SPAN/Bağlantı Noktası Yansıtma’yı desteklemelidir.Physical switch must support SPAN/Port Mirroring.
FizikselPhysical Farklı anahtarda fizikselPhysical on a different switch Fiziksel anahtarların ERSPAN* veya RSPAN’ı desteklemesi gerekir.Requires physical switches to support RSPAN or ERSPAN*.

*ERSPAN yalnızca trafik ATP tarafından çözümlenmesinden önce çözümlenmeden gerçekleştirildiğinde desteklenir.* ERSPAN is only supported when decapsulation is performed before the traffic is analyzed by ATP.

Not

Etki alanı denetleyicilerinin ve bağlandıkları Azure ATP tek başına algılayıcısı 'nın, birbirini izleyen beş dakika içinde zaman uyumlu olduğundan emin olun.Make sure that domain controllers and the Azure ATP standalone sensor to which they connect have time synchronized to within five minutes of each other.

Sanallaştırma kümeleriyle çalışıyorsanız:If you are working with virtualization clusters:

  • Azure ATP tek başına algılayıcısı olan bir sanal makinede sanallaştırma kümesinde çalışan her etki alanı denetleyicisi için etki alanı denetleyicisi ve Azure ATP tek başına algılayıcısı arasında benzeşim yapılandırın.For each domain controller running on the virtualization cluster in a virtual machine with the Azure ATP standalone sensor, configure affinity between the domain controller and the Azure ATP standalone sensor. Bu şekilde, etki alanı denetleyicisi kümedeki başka bir konağa taşınırsa Azure ATP tek başına algılayıcısı bunu izler.This way when the domain controller moves to another host in the cluster the Azure ATP standalone sensor follows it. Bu, az sayıda etki alanı denetleyicisi olduğunda iyi çalışır.This works well when there are a few domain controllers.

    Not

    Ortamınız farklı ana bilgisayarlarda Sanal-Sanal (RSPAN) iletişimi destekliyorsa benzeşim hakkında endişelenmeniz gerekmez.If your environment supports Virtual to Virtual on different hosts (RSPAN) you do not need to worry about affinity.

  • Azure ATP tek başına algılayıcısı 'nın, tüm DC 'leri kendileri tarafından izlemeyi işleyecek şekilde düzgün boyutlandırıldığından emin olmak için şu seçeneği deneyin: her sanallaştırma konağına bir sanal makine yükleme ve her konağa bir Azure ATP tek başına algılayıcısı yükleme.To make sure the Azure ATP standalone sensor are properly sized to handle monitoring all of the DCs by themselves, try this option: Install a virtual machine on each virtualization host and install an Azure ATP standalone sensor on each host. Kümede çalışan tüm etki alanı denetleyicilerini izlemek için her bir Azure ATP tek başına algılayıcısı yapılandırın.Configure each Azure ATP standalone sensor to monitor all of the domain controllers that run on the cluster. Bu şekilde, etki alanı denetleyicilerinin çalıştığı tüm konak izlenir.This way, any host the domain controllers run on is monitored.

Bağlantı noktası yansıtmayı yapılandırdıktan sonra, Azure ATP tek başına algılayıcısı 'nı yüklemeden önce bağlantı noktası yansıtmasının çalıştığını doğrulayın.After configuring port mirroring, validate that port mirroring is working before installing the Azure ATP standalone sensor.

Ayrıca bkz:See Also