Pular para o conteúdo

SPAN

As configurações de SPAN são apenas para o Sophos NDR.

O dispositivo da Sophos captura pacotes de rede por meio de portas SPAN (Switched Port Analyzer).

Você pode alterar suas configurações de SPAN na página Settings. As alterações só entram em vigor após uma reinicialização da VM. Consulte Reiniciar e desligar.

Portas SPAN

Por padrão, o Sophos NDR tem a porta SPAN 1 (ens160) ativada e a porta SPAN 2 desativada. Isso permite que o tráfego SPAN normal seja monitorado na interface de rede da porta SPAN 1.

Configurações padrão de SPAN.

Você pode ter vários switches capazes de enviar tráfego do SPAN para o dispositivo. Para coletar esse tráfego, ative a porta SPAN 2.

Se você precisar de uma segunda porta SPAN, deverá alocar pelo menos 8 vCPUs para a máquina virtual.

Porta 2 da SPAN.

Para saber mais sobre como configurar switches Sophos para SPAN, consulte a seção Configurar seus switches do Sophos NDR.

Tráfego de SPAN remoto encapsulado

O ERSPAN (Encapsulated Remote Switched Port Analyzer) permite o monitoramento do tráfego de várias fontes distribuídas em vários switches. Esse tráfego é entregue ao switch de destino ERSPAN via IP.

O dispositivo da Sophos pode coletar tráfego de SPAN encapsulado. Ele suporta os protocolos de túnel VXLAN e GRE.

Siga as instruções para VXLAN ou GRE.

Para ativar VXLAN, siga este procedimento:

  1. Selecione Enable ERSPAN ao lado da porta SPAN.
  2. Em Tunnel Protocol, selecione vxlan.
  3. Em IP Address, digite o endereço IP da interface VTEP.
  4. Em VXLAN ID, insira o ID. Ele deve corresponder à configuração de origem encapsulada de VXLAN.
  5. Em VXLAN Port, insira a porta VXLAN padrão. Ela deve corresponder à configuração de origem encapsulada de VXLAN.
  6. Clique em Salvar.

Configuração de VXLAN.

Para ativar GRE, siga este procedimento:

  1. Selecione Enable ERSPAN ao lado da porta SPAN.
  2. Em Tunnel Protocol, selecione gre.
  3. Em IP Address, insira o endereço IP da interface de destino GRE.
  4. Em GRE Port, insira a porta GRE padrão. Ela deve corresponder à configuração de origem encapsulada de GRE.
  5. Clique em Salvar.

    Configuração de GRE.

É comum ver portas SPAN e SPAN com VXLAN encapsuladas na mesma configuração. É raro usar VXLAN e GRE no mesmo dispositivo da Sophos.