Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/ndr/help/it-it/index.html?contextId=capture

SPAN

Le impostazioni di SPAN sono solo per Sophos NDR.

L’appliance acquisisce pacchetti di rete utilizzando porte SPAN (Switched Port Analyzer).

Le impostazioni SPAN possono essere modificate nella pagina Impostazioni. Le modifiche diventano effettive solo dopo il riavvio della VM. Vedere Riavvio e arresto.

Porte SPAN

Per impostazione predefinita, su Sophos NDR SPAN Port 1 (ens160) è attivata, mentre SPAN Port 2 è disattivata. Questo permette di monitorare il traffico SPAN normale sull’interfaccia di rete SPAN Port 1.

Impostazione SPAN predefinita.

È possibile che ci siano più switch in grado di inviare traffico SPAN all’appliance. Questo traffico può essere acquisito attivando SPAN Port 2.

Se è necessaria una seconda porta SPAN, occorre assegnare almeno 8 vCPU alla virtual machine.

Porta SPAN 2.

Per maggiori informazioni su come configurare i Sophos Switch per SPAN, vedere la sezione Configurazione degli switch di Sophos NDR.

Traffico SPAN remoto incapsulato

ERSPAN (Encapsulated Remote Switched Port Analyzer) permette di monitorare il traffico proveniente da più origini distribuite su più switch. Il traffico viene quindi inviato allo switch di destinazione ERSPAN tramite IP.

L’appliance Sophos può acquisire traffico SPAN incapsulato. Supporta i protocolli di tunneling VXLAN e GRE.

Seguire le istruzioni per VXLAN o GRE.

Per attivare VXLAN, procedere come segue:

  1. Selezionare *Enable ERSPAN* accanto alla porta SPAN.
  2. In Tunnel Protocol, selezionare vxlan.
  3. In IP Address, immettere l’indirizzo IP dell’interfaccia VTEP.
  4. In VXLAN ID, immettere l’ID. Deve corrispondere alla configurazione dell’origine incapsulata con VXLAN.
  5. In VXLAN Port, immettere la porta VXLAN predefinita. Deve corrispondere alla configurazione dell’origine incapsulata con VXLAN.
  6. Cliccare su Save.

Configurazione di VXLAN.

Per attivare GRE, procedere come segue:

  1. Selezionare *Enable ERSPAN* accanto alla porta SPAN.
  2. In Tunnel Protocol, selezionare gre.
  3. In IP Address, immettere l’indirizzo IP dell’interfaccia di destinazione GRE.
  4. In GRE Port, immettere la porta GRE predefinita. Deve corrispondere alla configurazione dell’origine incapsulata con GRE.

  5. Cliccare su Save.

    Configurazione di GRE.

Vedere porte SPAN e porte SPAN incapsulate con VXLAN nella stessa configurazione è normale. L’uso di VXLAN e GRE sulla stessa appliance Sophos è raro.