Если для передачи зеркалированного трафика на сетевом коммутаторе применяется технология ERSPAN, для приема и обработки этого трафика требуется выполнить дополнительную настройку операционной системы на узле с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). В результате настройки в операционной системе создается виртуальный сетевой интерфейс, который позволяет узлу с установленным компонентом программы выступать в роли конечной точки назначения для создаваемых туннелей по протоколу GRE (Generic Routing Encapsulation).
Чтобы настроить узел Сервера или сенсора для получения трафика по технологии ERSPAN:
sudo ip link add <имя виртуального интерфейса> type erspan local <IP-адрес интерфейса> remote <IP-адрес коммутатора> erspan_ver <версия ERSPAN> seq key <ключ ERSPAN-сессий> erspan <индекс трафика ERSPAN> dev <имя физического интерфейса>
где:
<имя виртуального интерфейса> – имя создаваемого виртуального сетевого интерфейса;<IP-адрес интерфейса> – IP-адрес сетевого интерфейса;<IP-адрес коммутатора> – IP-адрес сетевого коммутатора, отправляющего зеркалированный трафик;<версия ERSPAN> – номер используемой версии ERSPAN (1 для type II или 2 для type III);<ключ ERSPAN-сессий> – уникальный идентификатор, позволяющий группировать зеркалируемый трафик и маршрутизировать его;<индекс трафика ERSPAN> – значение поля индекса, представляющее исходящий порт и направление зеркалированного трафика в 20-битном виде;<имя физического интерфейса> – имя физического сетевого интерфейса, на который поступает зеркалированный трафик.Пример:
|