SPAN
Le impostazioni di SPAN sono solo per Sophos NDR.
L’appliance acquisisce pacchetti di rete utilizzando porte SPAN (Switched Port Analyzer).
Le impostazioni SPAN possono essere modificate nella pagina Impostazioni. Le modifiche diventano effettive solo dopo il riavvio della VM. Vedere Riavvio e arresto.
Porte SPAN
Per impostazione predefinita, su Sophos NDR SPAN Port 1 (ens160) è attivata, mentre SPAN Port 2 è disattivata. Questo permette di monitorare il traffico SPAN normale sull’interfaccia di rete SPAN Port 1.
È possibile che ci siano più switch in grado di inviare traffico SPAN all’appliance. Questo traffico può essere acquisito attivando SPAN Port 2.
Se è necessaria una seconda porta SPAN, occorre assegnare almeno 8 vCPU alla virtual machine.
Per maggiori informazioni su come configurare i Sophos Switch per SPAN, vedere la sezione Configurazione degli switch di Sophos NDR.
Traffico SPAN remoto incapsulato
ERSPAN (Encapsulated Remote Switched Port Analyzer) permette di monitorare il traffico proveniente da più origini distribuite su più switch. Il traffico viene quindi inviato allo switch di destinazione ERSPAN tramite IP.
L’appliance Sophos può acquisire traffico SPAN incapsulato. Supporta i protocolli di tunneling VXLAN e GRE.
Seguire le istruzioni per VXLAN o GRE.
Per attivare VXLAN, procedere come segue:
- Selezionare *Enable ERSPAN* accanto alla porta SPAN.
- In Tunnel Protocol, selezionare vxlan.
- In IP Address, immettere l’indirizzo IP dell’interfaccia VTEP.
- In VXLAN ID, immettere l’ID. Deve corrispondere alla configurazione dell’origine incapsulata con VXLAN.
- In VXLAN Port, immettere la porta VXLAN predefinita. Deve corrispondere alla configurazione dell’origine incapsulata con VXLAN.
- Cliccare su Save.
Per attivare GRE, procedere come segue:
- Selezionare *Enable ERSPAN* accanto alla porta SPAN.
- In Tunnel Protocol, selezionare gre.
- In IP Address, immettere l’indirizzo IP dell’interfaccia di destinazione GRE.
- In GRE Port, immettere la porta GRE predefinita. Deve corrispondere alla configurazione dell’origine incapsulata con GRE.
-
Cliccare su Save.
Vedere porte SPAN e porte SPAN incapsulate con VXLAN nella stessa configurazione è normale. L’uso di VXLAN e GRE sulla stessa appliance Sophos è raro.