Sdílet prostřednictvím

Konfigurace zrcadlení provozu pomocí portu REMOTE SPAN (RSPAN)

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram of a progress bar with Network level deployment highlighted.

Tento článek popisuje ukázkový postup pro konfiguraci SÍTĚ RSPAN na přepínači Cisco 2960 s 24 porty se systémem IOS.

Důležité

Tento článek je určený pouze jako pokyny, nikoli jako pokyny. Zrcadlové porty v jiných operačních systémech Cisco a jiných značek přepínačů se konfigurují odlišně. Další informace najdete v dokumentaci k přepínači.

Požadavky

  • Než začnete, ujistěte se, že rozumíte plánu monitorování sítě pomocí Defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.

    Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.

  • RSPAN vyžaduje, aby monitorovaný provoz SPAN přenášel mezi přepínači konkrétní síť VLAN. Než začnete, ujistěte se, že váš přepínač podporuje RSPAN.

  • Ujistěte se, že je možnost zrcadlení na přepínači vypnutá.

  • Ujistěte se, že je vzdálená síť VLAN povolená na kmenovém portu mezi zdrojovými a cílovými přepínači.

  • Ujistěte se, že všechny přepínače připojující se ke stejné relaci RSPAN jsou od stejného dodavatele.

  • Ujistěte se, že kmenový port sdílející stejnou vzdálenou síť VLAN mezi přepínači ještě není definovaný jako zdrojový port relace zrcadlení.

  • Vzdálená síť VLAN zvyšuje šířku pásma na kmenovém portu o množství přenosů zrcadlených ze zdrojové relace. Ujistěte se, že kmenový port přepínače může podporovat zvýšenou šířku pásma.

Upozornění

Zvýšená šířka pásma, ať už kvůli velkému množství propustnosti nebo velkému počtu přepínačů, může způsobit selhání přepínače, a proto snížit celou síť. Při konfiguraci zrcadlení provozu s VYUŽITÍM RSPAN nezapomeňte zvážit následující:

  • Počet přístupových a distribučních přepínačů, které konfigurujete pomocí APLIKACE RSPAN.
  • Korelace propustnosti vzdálené sítě VLAN na každém přepínači.

Konfigurace zdrojového přepínače

Na zdrojovém přepínači:

  1. Přejděte do global configuration režimu a vytvořte novou vyhrazenou síť VLAN.

  2. Identifikujte novou síť VLAN jako síť VLAN APLIKACE RSPAN a pak se vraťte do configure terminal režimu.

  3. Nakonfigurujte všechny 24 portů jako zdroje relací.

  4. Nakonfigurujte síť VLAN SÍTĚ RSPAN tak, aby byla cílem relace.

  5. Vraťte se do privilegovaného EXEC režimu a ověřte konfiguraci zrcadlení portů.

Konfigurace cílového přepínače

Na cílovém přepínači:

  1. Přejděte do režimu a nakonfigurujte global configuration síť SDKAN VLAN tak, aby byla zdrojem relace.

  2. Nakonfigurujte fyzický port 24 tak, aby byl cílem relace.

  3. Vraťte se do privilegovaného EXEC režimu a ověřte konfiguraci zrcadlení portů.

  4. Uložte konfiguraci.

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem

  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Screenshot of Wireshark validation.

Další kroky

« Onboarding snímačů OT do Defenderu pro IoT

Zřizování snímačů OT pro správu cloudu »