SPAN
SPAN の設定は、Sophos NDR 専用です。
アプライアンスは、SPAN (Switched Port Analyzer) ポート経由でネットワークパケットをキャプチャします。
SPAN の設定は、「設定」ページで変更できます。変更は、VM の再起動後に有効になります。詳細は、再開始とシャットダウンを参照してください。
SPAN ポート
デフォルトでは、Sophos NDR の「SPAN Port 1」(ens160) はオンに、「SPAN Port 2」はオフになっています。 これにより、SPAN ポート 1 のネットワークインターフェース上で通常の SPAN トラフィックを監視できます。
SPAN トラフィックをアプライアンスに送信できるスイッチが複数ある場合があります。このトラフィックは、「SPAN Port 2」をオンにすることで収集できます。
2つ目の SPAN ポートが必要な場合は、少なくとも 8個の vCPU を仮想マシンに割り当てる必要があります。
SPAN 用のソフォスのスイッチの設定の詳細は、Sophos NDR の「スイッチの設定」セクションを参照してください。
カプセル化されたリモート SPAN のトラフィック
カプセル化されたリモート SPAN (ERSPAN) を使用すると、異なるスイッチに分散された複数の送信元からのトラフィックを監視できます。このトラフィックは、IP 経由で ERSPAN の宛先スイッチに送信されます。
ソフォスのアプライアンスは、カプセル化された SPAN のトラフィックを収集できます。VXLAN および GRE のトンネルプロトコルをサポートしています。
VXLAN または GRE 用の手順に従います。
VXLAN をオンにするには、次の手順を実行します。
- SPAN ポートの横にある「Enable ERSPAN」を選択します。
- 「Tunnel Protocol」で「vxlan」を選択します。
- 「IP Address」に、VTEP インタフェースの IP アドレスを入力します。
- 「VXLAN ID」に ID を入力します。これは、VXLAN カプセル化されたソースの設定と一致する必要があります。
- 「VXLAN Port」に、デフォルトの VXLAN ポートを入力します。これは、VXLAN カプセル化されたソースの設定と一致する必要があります。
- 「保存」をクリックします。
GRE をオンにするには、次の手順を実行します。
- SPAN ポートの横にある「Enable ERSPAN」を選択します。
- 「Tunnel Protocol」で「gre」を選択します。
- 「IP Address」に、GRE ターゲットインタフェースの IP アドレスを入力します。
- 「GRE Port」に、デフォルトの GRE ポートを入力します。これは、GRE カプセル化されたソースの設定と一致する必要があります。
-
「保存」をクリックします。
同じ設定内に SPAN と VXLAN カプセル化された SPAN ポートが存在することはよくあります。一方、同じソフォスのアプライアンスで VXLAN と GRE が使用されることは稀です。