設定埠鏡像
適用于:進階威脅分析 1.9 版
注意
只有在您部署 ATA 閘道而非 ATA 輕量型閘道時,本文才相關。 若要判斷您是否需要使用 ATA 閘道,請參閱 為您的部署 選擇正確的閘道。
ATA 所使用的主要資料來源是針對您網域控制站的網路流量進行深入封包檢查。 若要讓 ATA 查看網路流量,您必須設定埠鏡像或使用網路 TAP。
針對埠鏡像,請將 每個網域控制站的埠鏡像 設定為 要監視的網路流量來源 。 一般而言,您必須與網路或虛擬化小組合作,以設定埠鏡像。 如需詳細資訊,請參閱廠商的檔。
您的網域控制站和 ATA 閘道可以是實體或虛擬。 以下是埠鏡像的常見方法,以及一些考慮。 如需詳細資訊,請參閱您的交換器或虛擬化伺服器產品檔。 您的交換器製造商可能會使用不同的術語。
交換器埠分析器 (SPAN) – 將網路流量從一或多個交換器埠複製到相同交換器上的另一個交換器埠。 ATA 閘道和網域控制站都必須連線到相同的實體交換器。
遠端交換器埠分析器 (RSPAN) – 可讓您監視透過多個實體交換器分散的來源埠的網路流量。 RSPAN 會將來源流量複製到特殊設定的 RSPAN VLAN。 此 VLAN 必須主幹至所涉及的其他交換器。 RSPAN 適用于第 2 層。
封裝的遠端交換器埠分析器 (ERSPAN) – 是 Cisco 專屬技術,可在第 3 層運作。 ERSPAN 可讓您監視跨交換器的流量,而不需要 VLAN 主幹。 ERSPAN 使用一般路由封裝 (GRE) 來複製受監視的網路流量。 ATA 目前無法直接接收 ERSPAN 流量。 若要讓 ATA 與 ERSPAN 流量搭配使用,可以將流量解除壓縮的交換器或路由器設定為 ERSPAN 的目的地,其中流量會解除壓縮。 然後,設定交換器或路由器,以使用 SPAN 或 RSPAN 將已解碼的流量轉送至 ATA 閘道。
注意
如果埠鏡像的網域控制站是透過 WAN 連結連線,請確定 WAN 連結可以處理 ERSPAN 流量的額外負載。 當流量以相同方式到達 NIC 和網域控制站時,ATA 僅支援流量監視。 ATA 不支援流量監視,當流量分成不同的埠時。
支援的埠鏡像選項
| ATA 閘道 | 網域控制站 | 考量 |
|---|---|---|
| 網路 | 相同主機上的虛擬 | 虛擬交換器需要支援埠鏡像。 將其中一部虛擬機器本身移至另一部主機可能會中斷埠鏡像。 |
| 網路 | 不同主機上的虛擬 | 請確定您的虛擬交換器支援此案例。 |
| 網路 | 實體 | 需要專用網路介面卡,否則 ATA 會看見進出主機的所有流量,甚至是傳送至 ATA 中心的流量。 |
| 實體 | 網路 | 請確定您的虛擬交換器支援此案例 - 以及根據案例在實體交換器上的埠鏡像設定: 如果虛擬主機位於相同的實體交換器上,您必須設定交換器層級範圍。 如果虛擬主機位於不同的交換器上,您必須設定 RSPAN 或 ERSPAN*。 |
| 實體 | 相同交換器上的實體 | 實體交換器必須支援 SPAN/埠鏡像。 |
| 實體 | 不同交換器上的實體 | 需要實體交換器才能支援 RSPAN 或 ERSPAN*。 |
* 只有在 ATA 分析流量之前執行解構時,才支援 ERSPAN。
注意
請確定其連線的網域控制站和 ATA 閘道在彼此的五分鐘內已同步至 。
如果您正在使用虛擬化叢集:
- 針對使用 ATA 閘道在虛擬機器中虛擬化叢集上執行的每個網域控制站,設定網域控制站與 ATA 閘道之間的親和性。 如此一來,當網域控制站移至叢集中的另一部主機時,ATA 閘道會跟著它。 當有一些網域控制站時,這會正常運作。
注意
如果您的環境支援虛擬到虛擬在不同的主機上 (RSPAN), 您不需要擔心親和性。
- 若要確定 ATA 閘道的大小正確,以自行處理監視所有 DC,請嘗試此選項:在每個虛擬化主機上安裝虛擬機器,並在每部主機上安裝 ATA 閘道。 設定每個 ATA 閘道,以監視叢集上執行的所有網域控制站。 如此一來,就會監視執行網域控制站的任何主機。
設定埠鏡像之後,請先驗證埠鏡像是否正常運作,再安裝 ATA 閘道。