Zum Inhalt

Permalink für diese Seite

Verwenden Sie immer den folgenden Permalink, um auf diese Seite zu verweisen. Der Link bleibt auch in zukünftigen Versionen dieser Hilfe unverändert.

https://docs.sophos.com/central/ndr/help/de-de/index.html?contextId=capture

SPAN

SPAN-Einstellungen gelten nur für Sophos NDR.

Die Appliance erfasst Netzwerkpakete über SPAN-Ports (Switched Port Analyzer).

Sie können Ihre SPAN-Einstellungen auf der Seite Einstellungen ändern. Änderungen werden erst nach einem Neustart Ihrer VM wirksam. Siehe Neustart und Herunterfahren.

SPAN-Ports

Standardmäßig ist für Sophos NDR SPAN Port 1 (ens160) aktiviert und SPAN Port 2 deaktiviert. Dadurch kann der normale SPAN-Datenverkehr auf der SPAN-Port-1-Netzwerkschnittstelle überwacht werden.

SPAN-Standardeinstellung.

Möglicherweise haben Sie mehrere Switches, die SPAN-Datenverkehr an die Appliance senden können. Um diesen Datenverkehr zu erfassen, aktivieren Sie SPAN Port 2.

Wenn Sie einen zweiten SPAN-Port benötigen, müssen Sie der virtuellen Maschine mindestens 8 vCPUs zuweisen.

SPAN Port 2.

Weitere Informationen zum Einrichten von Sophos Switches für SPAN finden Sie im Abschnitt Konfigurieren Ihrer Switches in Sophos NDR.

Eingekapselter Remote-SPAN-Datenverkehr

Encapsulated Remote Switched Port Analyzer (ERSPAN) ermöglicht die Überwachung des Datenverkehrs von mehreren Quellen, die über mehrere Switches verteilt sind. Dieser Datenverkehr wird dann über IP an den ERSPAN-Ziel-Switch weitergeleitet.

Die Sophos Appliance kann auch eingekapselten SPAN-Datenverkehr erfassen. Sie unterstützt die VXLAN- und GRE-Tunnelprotokolle.

Befolgen Sie die Anweisungen für VXLAN oder GRE.

Um VXLAN zu aktivieren, gehen Sie folgendermaßen vor:

  1. Wählen Sie Enable ERSPAN neben dem SPAN-Port.
  2. Wählen Sie unter Tunnel Protocol die Option vxlan aus.
  3. Geben Sie unter IP Address die IP-Adresse der VTEP-Schnittstelle ein.
  4. Geben Sie in VXLAN ID die ID ein. Dies muss mit der Konfiguration der VXLAN-eingekapselten Quelle übereinstimmen.
  5. Geben Sie unter VXLAN Port den Standard-VXLAN-Port ein. Dies muss mit der Konfiguration der VXLAN-eingekapselten Quelle übereinstimmen.
  6. Klicken Sie auf Speichern.

VXLAN-Konfiguration.

Um GRE zu aktivieren, gehen Sie folgendermaßen vor:

  1. Wählen Sie Enable ERSPAN neben dem SPAN-Port.
  2. Wählen Sie unter Tunnel Protocol die Option gre.
  3. Geben Sie unter IP Address die IP-Adresse der GRE-Zielschnittstelle ein.
  4. Geben Sie unter GRE Port den Standard-GRE-Port ein. Dies muss mit der Konfiguration der GRE-eingekapselten Quelle übereinstimmen.

  5. Klicken Sie auf Speichern.

    GRE-Konfiguration.

Es ist üblich, dass SPAN- und VXLAN-eingekapselte-SPAN-Ports in derselben Konfiguration angezeigt werden. Die Verwendung von VXLAN und GRE auf derselben Sophos Appliance ist selten.