Tabla de contenido
Publicidad
4. Respuesta de la capa de IP (para instalaciones de interruptor de 3 capas)
El equipo puede usar su propia interfaz de administración para
responder al tráfico. A pesar de que esta opción puede usarse con un
tráfico monitoreado, se la recomienda cuando el equipo monitorea
puertos que no son parte de ninguna VLAN, y por lo tanto el equipo no
puede responder al tráfico monitoreado usando cualquier otro puerto
del interruptor. Esto ocurre generalmente cuando se controla un enlace
que conecta a dos routers.
Esta opción no puede responder a pedidos del Protocolo de Resolución
de Direcciones (ARP, por sus siglas en inglés), que limita la capacidad del
equipo de detectar escaneos dirigidos a las direcciones de IP incluidas
en la subred monitoreada. Esta limitación no aplica cuando se está
controlando el tráfico entre los dos routers.
B. Notas para la configuración del interruptor
Etiquetas VLAN (802.1Q)
•
Monitoreo de una única VLAN (tráfico no marcado): Si el tráfico
monitoreado proviene de una única VLAN, el tráfico no necesita
etiquetas 802.1Q.
•
Monitoreo de múltiples VLAN (tráfico marcado): Si el tráfico
monitoreado proviene de dos o más VLAN, ambas interfaces la de control
y la de respuesta deben tener capacidad de marcado 802.1Q. El monitoreo
de múltiples VLAN es la opción recomendada ya que brinda la mejor
cobertura general a la vez que minimiza el número de puertos que duplica.
•
Si el interruptor no puede usar una etiqueta 802.1Q VLAN en los
puertos reflejados, realice una de las siguientes acciones:
-
Duplique solo una VLAN
-
Duplique un puerto único, no marcado, enlazado
-
Use la opción de respuesta de capa de IP
•
Si el interruptor puede duplicar solo un puerto, entonces duplique
solo un puerto enlazado. Este puede estar marcado. En general, si el
interruptor no incluye etiquetas 802.1Q VLAN, deberá usar la opción
de respuesta de Capa de IP.
Adicional
•
Si el interruptor no puede duplicar el tráfico de recepción y de
transmisión, monitoree el interruptor entero, las VLAN completas
(esto ofrece recepción/transmisión) o solo una interfaz (que no
permite recepción/transmisión). Verifique que no sobrecargue el
puerto de duplicado o reflejado.
•
Algunos interruptores (como Cisco 6509) pueden necesitar ex
configuraciones de puerto completamente despejadas antes de
ingresar nuevas configuraciones. El resultado más común cuando
no se despeje información de puertos viejos es que el interruptor
quite las etiquetas 802.1Q.
ForeScout CounterACT 7 Guía de instalación rápida
9
Publicidad
Tabla de contenido
