SPAN
SPAN-Einstellungen gelten nur für Sophos NDR.
Die Appliance erfasst Netzwerkpakete über SPAN-Ports (Switched Port Analyzer).
Sie können Ihre SPAN-Einstellungen auf der Seite Einstellungen ändern. Änderungen werden erst nach einem Neustart Ihrer VM wirksam. Siehe Neustart und Herunterfahren.
SPAN-Ports
Standardmäßig ist für Sophos NDR SPAN Port 1 (ens160) aktiviert und SPAN Port 2 deaktiviert. Dadurch kann der normale SPAN-Datenverkehr auf der SPAN-Port-1-Netzwerkschnittstelle überwacht werden.
Möglicherweise haben Sie mehrere Switches, die SPAN-Datenverkehr an die Appliance senden können. Um diesen Datenverkehr zu erfassen, aktivieren Sie SPAN Port 2.
Wenn Sie einen zweiten SPAN-Port benötigen, müssen Sie der virtuellen Maschine mindestens 8 vCPUs zuweisen.
Weitere Informationen zum Einrichten von Sophos Switches für SPAN finden Sie im Abschnitt Konfigurieren Ihrer Switches in Sophos NDR.
Eingekapselter Remote-SPAN-Datenverkehr
Encapsulated Remote Switched Port Analyzer (ERSPAN) ermöglicht die Überwachung des Datenverkehrs von mehreren Quellen, die über mehrere Switches verteilt sind. Dieser Datenverkehr wird dann über IP an den ERSPAN-Ziel-Switch weitergeleitet.
Die Sophos Appliance kann auch eingekapselten SPAN-Datenverkehr erfassen. Sie unterstützt die VXLAN- und GRE-Tunnelprotokolle.
Befolgen Sie die Anweisungen für VXLAN oder GRE.
Um VXLAN zu aktivieren, gehen Sie folgendermaßen vor:
- Wählen Sie Enable ERSPAN neben dem SPAN-Port.
- Wählen Sie unter Tunnel Protocol die Option vxlan aus.
- Geben Sie unter IP Address die IP-Adresse der VTEP-Schnittstelle ein.
- Geben Sie in VXLAN ID die ID ein. Dies muss mit der Konfiguration der VXLAN-eingekapselten Quelle übereinstimmen.
- Geben Sie unter VXLAN Port den Standard-VXLAN-Port ein. Dies muss mit der Konfiguration der VXLAN-eingekapselten Quelle übereinstimmen.
- Klicken Sie auf Speichern.
Um GRE zu aktivieren, gehen Sie folgendermaßen vor:
- Wählen Sie Enable ERSPAN neben dem SPAN-Port.
- Wählen Sie unter Tunnel Protocol die Option gre.
- Geben Sie unter IP Address die IP-Adresse der GRE-Zielschnittstelle ein.
- Geben Sie unter GRE Port den Standard-GRE-Port ein. Dies muss mit der Konfiguration der GRE-eingekapselten Quelle übereinstimmen.
-
Klicken Sie auf Speichern.
Es ist üblich, dass SPAN- und VXLAN-eingekapselte-SPAN-Ports in derselben Konfiguration angezeigt werden. Die Verwendung von VXLAN und GRE auf derselben Sophos Appliance ist selten.