跳至內容

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/ndr/help/zh-tw/index.html?contextId=capture

SPAN

SPAN 設定僅適用於 Sophos NDR。

設備透過 Switched Port Analyzer (SPAN) 連接埠擷取網路封包。

您可以在設定頁面變更 SPAN 設定。只有在重新啟動 VM 後,變更才會生效。請參閱重新啟動並關閉

SPAN 連接埠

預設情況下,Sophos NDR 開啟 SPAN 連接埠 1 (ens160),關閉 SPAN 連接埠 2。 這允許在 SPAN 連接埠 1 網路介面上監控正常的 SPAN 流量。

SPAN 預設設定。

您可能有多台交換器能夠將 SPAN 流量傳送至設備。要收集此流量,請開啟 SPAN 連接埠 2

如果需要第二個 SPAN 連接埠,則必須為虛擬機分配至少 8 個 vCPU。

SPAN 連接埠 2。

若要了解有關為 SPAN 設定 Sophos 交換器的更多資訊,請參見 Sophos NDRConfigure your switches 部分。

封裝的遠端 SPAN 流量

Encapsulated Remote Switched Port Analyzer (ERSPAN) 支援監控來自分佈在多台交換器上的多個源的流量。然後,此流量透過 IP 傳輸到 ERSPAN 目的交換器。

Sophos 設備可以收集封裝的 SPAN 流量。它支援 VXLAN 和 GRE 通道通訊協定。

按照 VXLAN 或 GRE 的說明進行操作。

若要開啟 VXLAN,請執行以下動作:

  1. 選取 SPAN 連接埠旁的啟用 ERSPAN
  2. 通道通訊協定中,選取 vxlan
  3. IP 位址中,輸入 VTEP 介面的 IP 位址。
  4. VXLAN ID 中,輸入 ID。這必須與 VXLAN 封裝的源設定相匹配。
  5. VXLAN Port 中,輸入預設的 VXLAN 連接埠。這必須與 VXLAN 封裝的源設定相匹配。
  6. 按一下儲存

VXLAN 設定。

若要開啟 GRE,請執行以下動作:

  1. 選取 SPAN 連接埠旁的啟用 ERSPAN
  2. 通道通訊協定中,選取 gre
  3. IP Address 中,輸入 GRE 目標介面的 IP 位址。
  4. GRE Port 中,輸入預設的 GRE 連接埠。這必須與 GRE 封裝的源設定相匹配。

  5. 按一下儲存

    GRE 設定。

在同一設定中,經常會看到 SPAN 和 VXLAN 封裝的 SPAN 連接埠。在同一 Sophos 設備上使用 VXLAN 和 GRE 是很少見的。