Sdílet prostřednictvím


Konfigurace zrcadlení provozu pomocí přepínače Hyper-V

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram of a progress bar with Network level deployment highlighted.

Tento článek popisuje, jak používat režim Promiscuous v prostředí Hyper-V Vswitch jako alternativní řešení pro konfiguraci zrcadlení provozu, podobně jako port SPAN. Port SPAN na přepínači zrcadlí místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači.

Další informace naleznete v tématu Zrcadlení provozu s virtuálními přepínači.

Požadavky

Než začnete, potřebujete:

  • Ujistěte se, že rozumíte plánu monitorování sítě pomocí defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.

    Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.

  • Ujistěte se, že není spuštěná žádná instance virtuálního zařízení.

  • Ujistěte se, že jste na datovém portu virtuálního přepínače povolili span, a ne port pro správu.

  • Ujistěte se, že konfigurace span datového portu není nakonfigurovaná s IP adresou.

Konfigurace portu zrcadlení provozu pomocí Technologie Hyper-V

  1. Otevřete Správce virtuálního přepínače.

  2. V seznamu virtuálních přepínačů vyberte jako typ vyhrazeného rozloženého síťového adaptéru možnost Nový přepínač>virtuální sítě Externí.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Vyberte Vytvořit virtuální přepínač.

  4. V oblasti typu Připojení vyberte Externí síť a ujistěte se, že je vybraná možnost Povolit operačnímu systému správy sdílet tento síťový adaptér. Příklad:

    Screenshot of the External network option.

  5. Vyberte OK.

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači

Pomocí Windows PowerShellu nebo Správce technologie Hyper-V připojte virtuální rozhraní SPAN k virtuálnímu přepínači, který jste vytvořili dříve.

Pokud používáte PowerShell, definujte název nově přidaného hardwaru adaptéru jako Monitor. Pokud používáte Správce technologie Hyper-V, název nově přidaného hardwaru adaptéru je nastaven na Network Adapterhodnotu .

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí PowerShellu

  1. Vyberte nově přidaný virtuální přepínač SPAN, který jste nakonfigurovali dříve, a spuštěním následujícího příkazu přidejte nový síťový adaptér:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Povolte zrcadlení portů pro vybrané rozhraní jako cíl rozsahu pomocí následujícího příkazu:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Kde:

    Parametr Popis
    VK-C1000V-LongRunning-650 Název virtuálního virtuálního počítače CPPM
    vSwitch_Span Nově přidaný název virtuálního přepínače SPAN
    Monitorování Nově přidaný název adaptéru
  3. Jakmile budete hotovi, vyberte tlačítko OK.

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí Správce technologie Hyper-V

  1. V seznamu hardwaru Správce technologie Hyper-V vyberte síťový adaptér.

  2. V poli Virtuální přepínač vyberte vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. V seznamu Hardware v rozevíracím seznamu Síťový adaptér vyberte Hardwarová akcelerace a zrušte zaškrtnutí políčka Fronta virtuálního počítače pro síťové rozhraní monitorování.

  4. V seznamu Hardware v rozevíracím seznamu Síťový adaptér vyberte Pokročilé funkce. V části Zrcadlení portů vyberte Cíl jako režim zrcadlení pro nové virtuální rozhraní.

    Screenshot of the selections needed to configure mirroring mode.

  5. Vyberte OK.

Zapnutí rozšíření pro zachytávání Microsoft NDIS

Zapněte podporu rozšíření Microsoft NDIS Capture Extensions pro virtuální přepínač, který jste vytvořili dříve.

Povolení rozšíření pro zachytávání Microsoft NDIS pro nový virtuální přepínač:

  1. Na hostiteli Hyper-V otevřete Správce virtuálních přepínačů.

  2. V seznamu Virtuální přepínače rozbalte název vSwitch_Span virtuálního přepínače a vyberte Rozšíření.

  3. V poli Přepnout rozšíření vyberte Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Vyberte OK.

Konfigurace režimu zrcadlení přepínače

Nakonfigurujte režim zrcadlení na virtuálním přepínači, který jste vytvořili dříve , aby byl externí port definovaný jako zdroj zrcadlení. To zahrnuje konfiguraci virtuálního přepínače Hyper-V (vSwitch_Span) tak, aby předával veškerý provoz přicházející do externího zdrojového portu do virtuálního síťového adaptéru nakonfigurovaného jako cíl.

Pokud chcete nastavit externí port virtuálního přepínače jako režim zdrojového zrcadlení, spusťte:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Kde:

Parametr Popis
vSwitch_Span Název virtuálního přepínače, který jste vytvořili dříve
MonitorMode=2 Source
MonitorMode=1 Cíl
MonitorMode=0 Nic

Pokud chcete ověřit stav režimu monitorování, spusťte:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametr Popis
vSwitch_Span Nově přidaný název virtuálního přepínače SPAN

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem
  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Screenshot of Wireshark validation.

Další kroky