Konfigurieren der Datenverkehrsspiegelung mit einem RSPAN-Port (Remote SPAN)

  • Artikel

Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.

Diagram of a progress bar with Network level deployment highlighted.

In diesem Artikel wird ein Beispielverfahren zum Konfigurieren von RSPAN auf einem Cisco 2960-Switch mit 24 Ports unter iOS beschrieben.

Wichtig

Bei diesem Artikel handelt es sich lediglich um eine Orientierungshilfe und nicht um Anweisungen. Spiegelports für andere Cisco-Betriebssysteme und Switchmarken werden anders konfiguriert. Weitere Informationen finden Sie in Ihrer Switch-Dokumentation.

Voraussetzungen

  • Bevor Sie beginnen, stellen Sie sicher, dass Sie den Plan für die Netzwerküberwachung mit Defender for IoT verstehen und die SPAN-Ports kennen, die Sie konfigurieren möchten.

    Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.

  • RSPAN erfordert ein bestimmtes VLAN, um den überwachten SPAN-Datenverkehr zwischen Switches zu übertragen. Vergewissern Sie sich zunächst, dass der Switch RSPAN unterstützt.

  • Stellen Sie sicher, dass die Spiegelungsoption auf Ihrem Switch deaktiviert ist.

  • Vergewissern Sie sich, dass das Remote-VLAN am gebündelten Port zwischen den Quell- und Zielswitches zugelassen wurde.

  • Stellen Sie sicher, dass alle Switches, die mit derselben RSPAN-Sitzung verbunden sind, von demselben Anbieter stammen.

  • Vergewissern Sie sich, dass der gebündelte Port, der dasselbe Remote-VLAN zwischen Switches nutzt, nicht bereits als Quellport einer Spiegelsitzung definiert ist.

  • Das Remote-VLAN erhöht die Bandbreite des gebündelten Ports um die Menge des Datenverkehrs, der von der Quellsitzung gespiegelt wird. Stellen Sie sicher, dass der Trunkport Ihres Switch die erhöhte Bandbreite unterstützen kann.

Achtung

Eine erhöhte Bandbreite, sei es aufgrund großer Mengen an Durchsatz oder einer großen Anzahl von Switches, kann dazu führen, dass ein Switch fehlschlägt und somit das gesamte Netzwerk heruntergefahren wird. Beachten Sie beim Konfigurieren der Datenverkehrsspiegelung mit RSPAN Folgendes:

  • Die Anzahl der Zugriffs-/Verteilungsswitches, die Sie mit RSPAN konfigurieren.
  • Der korrelierende Durchsatz für das Remote-VLAN auf jedem Switch.

Konfigurieren des Quellswitch

Auf dem Quellswitch:

  1. Wechseln Sie in den Modus global configuration, und erstellen Sie ein neues dediziertes VLAN.

  2. Identifizieren Sie Ihr neues VLAN als RSPAN VLAN, und wechseln Sie dann zurück in den configure terminal-Modus.

  3. Konfigurieren Sie alle 24 Ports als Sitzungsquellen.

  4. Konfigurieren Sie das RSPAN VLAN als Sitzungsziel.

  5. Kehren Sie zum privilegierten EXEC-Modus zurück, und überprüfen Sie die Konfiguration der Portspiegelung.

Konfigurieren des Zielswitch

Auf dem Zielswitch:

  1. Wechseln Sie in den Modus global configuration, und konfigurieren Sie das RSPAN VLAN als Sitzungsquelle.

  2. Konfigurieren Sie den physischen Port 24 als das Sitzungsziel.

  3. Kehren Sie zum privilegierten EXEC-Modus zurück, und überprüfen Sie die Konfiguration der Portspiegelung.

  4. Speichern Sie die Konfiguration.

Überprüfen der Datenverkehrsspiegelung

Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.

Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:

  • Überprüfen der Switchkonfiguration
  • Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
  • Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden

  1. Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.

  2. Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.

    Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.

  3. Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.

    Beispiel:

    Screenshot of Wireshark validation.

Nächste Schritte

« Onboarding von OT-Sensoren mit Defender for IoT

Bereitstellen von OT-Sensoren für die Cloudverwaltung »