Aller au contenu

SPAN

Les paramètres SPAN s’appliquent uniquement à Sophos NDR.

L'appliance Sophos capture les paquets réseau via les ports SPAN (Switched Port Analyzer).

Vous pouvez modifier ces paramètres sur la page Paramètres page. Les modifications ne prennent effet qu'après un redémarrage de votre VM. Voir Redémarrer et arrêter.

Ports SPAN

Par défaut, le port SPAN 1 (ens160) est activé et le port SPAN 2 est désactivé sur Sophos NDR. Cela permet de surveiller le trafic SPAN normal sur l'interface réseau du port SPAN 1.

Paramètre SPAN par défaut.

Il est possible que vous ayez plusieurs switchs capables d’envoyer le trafic SPAN (Switched Port Analyzer) à l'appliance. Vous pouvez collecter ce trafic en activant le port SPAN 2.

Si vous avez besoin d'un second port SPAN, allouez au moins 8 CPU virtuels à la VM.

Port SPAN 2.

Pour en savoir plus sur la configuration des switchs Sophos pour SPAN, consultez la section Configurer les switchs de Sophos NDR.

Trafic SPAN distant encapsulé

ERSPAN (Encapsulated Remote Switched Port Analyzer) permet de surveiller le trafic à partir de plusieurs sources réparties sur plusieurs switchs. Ce trafic est ensuite transmis au switch de destination ERSPAN via IP.

L'appliance Sophos est également capable de collecter le trafic SPAN encapsulé. Il prend en charge les protocoles de tunnel VXLAN et GRE.

Suivez les instructions pour VXLAN ou GRE.

Pour activer VXLAN, procédez de la manière suivante :

  1. Sélectionnez Activer ERSPAN situés à côté du port SPAN.
  2. Dans Protocole de mise en tunnel, sélectionnez vxlan.
  3. Dans Adresse IP, saisissez l’adresse IP de l’interface VTEP.
  4. Dans ID VXLAN, saisissez l’ID. Ceci doit correspondre à la configuration source encapsulée VXLAN.
  5. Dans VXLAN Port, saisissez le port VXLAN par défaut. Ceci doit correspondre à la configuration source encapsulée VXLAN.
  6. Cliquez sur Enregistrer.

Configuration VXLAN.

Pour activer GRE, procédez de la manière suivante :

  1. Sélectionnez Activer ERSPAN situés à côté du port SPAN.
  2. Dans Protocole de mise en tunnel, sélectionnez gre.
  3. Dans IP Address, saisissez l’adresse IP de l’interface cible GRE.
  4. Dans GRE Port, saisissez le port GRE par défaut. Ceci doit correspondre à la configuration source encapsulée GRE.
  5. Cliquez sur Enregistrer.

    Configuration GRE.

Il est courant de voir des ports SPAN encapsulant à la fois un VXLAN et un SPAN dans la même configuration. L’utilisation de VXLAN et GRE sur la même appliance Sophos est rare.