SPAN
SPAN 설정은 Sophos NDR에만 해당됩니다.
Sophos 어플라이언스는 SPAN(Switched Port Analyzer) 포트를 통해 네트워크 패킷을 캡처합니다.
설정 페이지에서 SPAN 설정을 변경할 수 있습니다. 변경 사항은 VM을 다시 시작해야 적용됩니다. 다시 시작 및 종료을 참조하십시오.
SPAN 포트
기본적으로 Sophos NDR에는 SPAN 포트 1(ens160)이 켜져 있고 SPAN 포트 2는 꺼져 있습니다. 이를 통해 일반 SPAN 트래픽을 SPAN 포트 1 네트워크 인터페이스에서 모니터링할 수 있습니다.
SPAN 트래픽을 어플라이언스로 보낼 수 있는 스위치가 여러 개 있을 수 있습니다. 이 트래픽을 수집하려면 SPAN 포트 2를 켜십시오.
두 번째 SPAN 포트가 필요한 경우 가상 머신에 8개 이상의 vCPU를 할당해야 합니다.
SPAN용 Sophos 스위치 설정에 대해 자세히 알아보려면 Sophos NDR의 Configure your switches 섹션을 참조하십시오.
캡슐화된 원격 SPAN 트래픽
ERSPAN(Encapsulated Remote Switched Port Analyzer)을 사용하면 여러 스위치에 분산된 여러 소스의 트래픽을 모니터링할 수 있습니다. 이 트래픽은 IP를 통해 ERSPAN 대상 스위치로 전달됩니다.
Sophos 어플라이언스는 캡슐화된 SPAN 트래픽도 수집할 수 있습니다. VXLAN 및 GRE 터널 프로토콜을 지원합니다.
VXLAN 또는 GRE에 대한 지침을 따릅니다.
VXLAN을 켜려면 다음과 같이 하십시오.
- SPAN 포트 옆에 있는 ERSPAN 활성화를 선택합니다.
- 터널 프로토콜에서 VXLAN을 선택합니다.
- IP 주소에 VTEP 인터페이스의 IP 주소를 입력합니다.
- VXLAN ID에 ID를 입력합니다. 이는 VXLAN 캡슐화된 소스 구성과 일치해야 합니다.
- VXLAN Port에 기본 VXLAN 포트를 입력합니다. 이는 VXLAN 캡슐화된 소스 구성과 일치해야 합니다.
- 저장을 클릭합니다.
GRE를 켜려면 다음과 같이 하십시오.
- SPAN 포트 옆에 있는 ERSPAN 활성화를 선택합니다.
- 터널 프로토콜에서 GRE를 선택합니다.
- IP Address에 GRE 대상 인터페이스의 IP 주소를 입력합니다.
- GRE Port에 기본 GRE 포트를 입력합니다. 이는 GRE 캡슐화된 소스 구성과 일치해야 합니다.
-
저장을 클릭합니다.
동일한 구성의 SPAN 및 VXLAN 캡슐화된 SPAN 포트가 확인되는 경우는 일반적입니다. 동일한 Sophos 어플라이언스에서 VXLAN과 GRE를 사용하는 경우는 드뭅니다.