Configuración de la creación de un reflejo del tráfico con un puerto SPAN remoto (RSPAN)
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.
En este artículo se describe un procedimiento de ejemplo para configurar RSPAN en un conmutador Cisco 2960 con 24 puertos que ejecutan IOS.
Importante
Recuerde que este artículo solo está pensado como guía y no como instrucciones. En otros sistemas operativos de Cisco y otras marcas de conmutadores los puertos espejo se configuran de forma diferente. Para obtener más información, consulte la documentación del conmutador.
Requisitos previos
Antes de empezar, asegúrese de comprender el plan de supervisión de red con Defender para IoT y qué puertos SPAN desea configurar.
Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.
RSPAN requiere una VLAN específica para transportar el tráfico SPAN supervisado entre conmutadores. Antes de comenzar, asegúrese de que el conmutador admite RSPAN.
Asegúrese de que la opción para la creación de un reflejo del conmutador está desactivada.
Asegúrese de que la VLAN remota se permite en el puerto troncal, entre los conmutadores de origen y de destino.
Asegúrese de que todos los conmutadores que se conectan a la misma sesión de RSPAN proceden del mismo proveedor.
Asegúrese de que el puerto troncal que comparte la VLAN remota entre los conmutadores no esté definido como un puerto de origen de la sesión de reflejo.
La VLAN remota aumenta el ancho de banda en el puerto troncal por la cantidad de tráfico que se refleja desde la sesión de origen. Asegúrese de que el puerto troncal del conmutador pueda admitir el aumento del ancho de banda.
Precaución
Un mayor ancho de banda, ya sea debido a grandes cantidades de rendimiento o a un gran número de conmutadores, podría provocar un error en un conmutador y, por lo tanto, reducir toda la red. Al configurar la creación de reflejo del tráfico con RSPAN, asegúrese de tener en cuenta lo siguiente:
- El número de modificadores de acceso y distribución que configure con RSPAN.
- Rendimiento correlacionado para la VLAN remota en cada conmutador.
Configuración del conmutador de origen
En el conmutador de origen:
Escriba el modo
global configurationy cree una nueva VLAN dedicada.Identifique la nueva VLAN como la VLAN de RSPAN y vuelva al modo
configure terminal.Configure los 24 puertos como orígenes de sesión.
Configure la VLAN de RSPAN para que sea el destino de la sesión.
Vuelva al modo con privilegios
EXECy compruebe la configuración de creación de reflejo del puerto.
Configuración del conmutador de destino
En el conmutador de destino:
Escriba el modo
global configurationy configure la VLAN de RSPAN para que sea el origen de la sesión.Configure el puerto físico 24 para que sea el destino de la sesión.
Vuelva al modo con privilegios
EXECy compruebe la configuración de creación de reflejo del puerto.Guarde la configuración.
Validar la creación de reflejo del tráfico
Después de configurar la creación de reflejo del tráfico, intente recibir un ejemplo de tráfico grabado (archivo PCAP) desde el puerto SPAN o reflejo del conmutador.
Un archivo PCAP de ejemplo le ayudará a:
- Validar la configuración del conmutador
- Confirmar que el tráfico que pasa por el conmutador es relevante para la supervisión
- Identificar el ancho de banda y una cantidad estimada de dispositivos detectados por el conmutador
Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un portátil a un puerto en el que haya configurado la supervisión del tráfico.
Compruebe que los paquetes de unidifusión estén presentes en el tráfico de la grabación. El tráfico de unidifusión es el que se envía de una dirección a otra.
Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.
Compruebe que los protocolos de OT estén presentes en el tráfico analizado.
Por ejemplo:
