SPAN

Функция SPAN предназначена для зеркалирования трафика, проходящего через сетевой мост. Функция используется для анализа трафика и должна поддерживаться принимающим устройством, например, коммутатором.

Настройка SPAN

В качестве примера настройки зеркалирования трафика будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Стенд для настройки зеркалирования трафика).

../../../_images/fw.rp.span.1.1.png

Рисунок – Стенд для настройки зеркалирования трафика

Для настройки зеркалирования необходимо перейти в подраздел настройки интерфейса, используемого в качестве SPAN-порта, например «OPT2» («Интерфейсы» - «[OPT2]»), установить флажки для параметров «Включить» и «Блокировать трафик на SPAN порту», не изменяя другие параметры нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».

Настройка SPAN с использованием сетевого моста

В качестве примера настройки зеркалирования трафика будет использоваться схема стенда, представленная на рисунке (см. Рисунок – Стенд для настройки зеркалирования трафика), со следующими параметрами:

  • интерфейсы «OPT1» и «LAN» объединены в сетевой мост;

  • интерфейс «OPT2» используется в качестве порта SPAN.

../../../_images/fw.rp.span.2.1.png

Рисунок – Стенд для настройки зеркалирования трафика

Для настройки зеркалирования необходимо выполнить следующие действия:

  1. Включить интерфейс «OPT2».

  2. Объединить интерфейсы «OPT1» и «LAN» в сетевой мост с указанием порта SPAN.

  3. Настроить созданный сетевой мост.

Для проверки наличия трафика на интерфейсе «OPT2» будет использоваться утилита «Wireshark», запущенная на ПК «Traffic Analyser».

Включение интерфейса «OPT2»

Для включения интерфейса необходимо выполнить следующие действия:

  1. Перейти в подраздел назначения портов («Интерфейсы» - «Назначения портов») и создать новый интерфейс с именем «OPT2» (см. «Назначение портов»).

  2. В разделе интерфейсов («Интерфейсы») выбрать созданный интерфейс, установить флажки для параметров «Включить» и «Блокировать трафик на SPAN порту», не изменяя другие параметры нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения» (см. «Настройка сетевых интерфейсов»).

Объединение интерфейсов «OPT1» и «LAN» в сетевой мост

Для объединения интерфейсов необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки сетевых мостов («Интерфейсы» - «Другие типы» - «Сетевой мост») и создать сетевой мост (см. «Создание сетевого моста»), указав в качестве интерфейсов-участников порты «OPT1» и «LAN».

  2. Нажать кнопку «Показать дополнительные параметры» и в открывшейся форме указать «OPT2» в параметре «Порт SPAN» (см. Рисунок – Выбор порта SPAN), затем нажать кнопку «Сохранить».

../../../_images/fw.rp.span.2.2.1.png

Рисунок – Выбор порта SPAN

Для корректной работы режима SPAN необходимо изменить значения следующих параметров («Система» - «Настройки» - «Параметры»):

  • «net.link.bridge.pfil_member» – «0»;

  • «net.link.bridge.pfil_bridge» – «0».

Данные значения параметров отключают фильтрацию со стороны ARMA FW для коммутируемых кадров.

Для изменения параметров необходимо выполнить следующие действия:

  1. Перейти в подраздел параметров ARMA FW («Система» - «Настройки» - «Параметры»).

  2. Нажать кнопку «bttn.pen» напротив изменяемого параметра и задать значение в поле «Значение».

  3. Нажать кнопку «Сохранить», а затем нажать кнопку «Применить изменения».

Настройка сетевого моста

Созданный сетевой мост необходимо настроить аналогично алгоритму, указанному в разделе «Создание сетевого моста» настоящего руководства.

В результате настройки весь трафик, проходящий по созданному сетевому мосту, будет зеркалироваться на интерфейс «OPT2».

Настройка принимающего трафик устройства должна производиться согласно соответствующей инструкции и не описана в настоящем руководстве.

Проверка зеркалирования трафика

Для проверки зеркалирования трафика необходимо выполнить следующие действия:

  1. На ПК «Admin» запустить веб-браузер и перейти по адресу «192.168.1.200» (см. Рисунок – Доступ к веб-серверу с ПК администратора).

../../../_images/fw.rp.span.2.4.1.png

Рисунок – Доступ к веб-серверу с ПК администратора

  1. На ПК «Traffic Analyzer» запустить программу «Wireshark» и выполнить анализ трафика с фильтром по IP (см. Рисунок – Зеркалированный трафик на интерфейсе «OPT2»).

../../../_images/fw.rp.span.2.4.2.png

Рисунок – Зеркалированный трафик на интерфейсе «OPT2»

Особенности настройки ARMA FW для обработки СОВ зеркалированного трафика

В качестве примера приведён порядок настройки ARMA FW с предварительно подключённым интерфейсом «OPT2» к порту SPAN коммутатора.

Для корректной работы ARMA FW при обработке СОВ зеркалированного трафика необходимо выполнить следующие действия:

  1. Перейти в подраздел настроек интерфейса «OPT2» («Интерфейсы» - «[OPT2]») и убедиться, что в полях для параметров «Тип конфигурации IPv4» и «Тип конфигурации IPv6» установлено значение «Отсутствует».

Примечание

Для обработки СОВ трафика, поступающего из VLAN сети, необходимо отключить фильтрацию аппаратного обеспечения, указав интерфейс «OPT2» в дополнительно появившемся поле (см. «Расширенные настройки»).

  1. Перейти в подраздел общих правил МЭ («Межсетевой экран» - «Правила» - «[Общие]») и создать правило, указав следующие параметры:

  • «Действие» – «Блокирование (Drop)»;

  • «Интерфейс» – «OPT2»;

  • «Направление» – «Любое».

Не указанные параметры следует оставить по умолчанию. Создание правил МЭ описано в разделе «Создание правил межсетевого экранирования» настоящего руководства.

  1. Перейти в подраздел администрирования СОВ («Обнаружение вторжений» – «Администрирование») и во вкладке «Настройки» ввести следующие параметры:

  • «Включен» – флажок установлен;

  • «Смешанный режим» – флажок установлен;

  • «Интерфейсы» – «OPT2».

Настроить необходимые правила фильтрации трафика. Настройка правил СОВ описана в разделе «Система обнаружения и предотвращения вторжений» настоящего руководства.

Для проверки успешности подключения следует убедиться в наличии трафика на интерфейсе «OPT2».