Configurer la mise en miroir du trafic avec un vSwitch ESXi

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.

Diagramme d’une barre de progression avec le déploiement au niveau du réseau mis en évidence.

Cet article explique comment utiliser le mode promiscuous dans un environnement ESXi vSwitch comme solution de contournement pour configurer la mise en miroir du trafic, comme un port SPAN. Un port SPAN sur votre commutateur reflète le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur.

Pour plus d’informations, consultez Mise en miroir du trafic avec des commutateurs virtuels.

Configuration requise

Avant de commencer, assurez-vous de bien comprendre votre plan de surveillance réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.

Pour plus d’informations, consultez Méthodes de mise en miroir du trafic pour la surveillance OT.

Configurer une interface de surveillance à l’aide du mode Promiscuous

Pour configurer une interface de surveillance avec le mode promiscuous sur un commutateur v-Switch ESXi :

  1. Ouvrez la page des propriétés vSwitch et sélectionnez Ajouter un commutateur virtuel standard.

  2. Entrez SPAN Network comme étiquette réseau.

  3. Dans le champ MTU, entrez 4096.

  4. Sélectionnez Sécurité, puis vérifiez que la stratégie Mode promiscuous est définie sur Mode d’acceptation .

  5. Sélectionnez Ajouter pour fermer les propriétés vSwitch.

  6. Mettez en surbrillance le vSwitch que vous venez de créer, puis sélectionnez Ajouter une liaison montante.

  7. Sélectionnez la carte réseau physique que vous utiliserez pour le trafic SPAN, remplacez la MTU par 4096, puis sélectionnez Enregistrer.

  8. Ouvrez la page des propriétés du groupe de ports et sélectionnez Ajouter un groupe de ports.

  9. Entrez groupe de ports SPAN comme nom, entrez 4095 comme ID de réseau local virtuel, puis sélectionnez Réseau SPAN dans la liste déroulante vSwitch, puis sélectionnez Ajouter.

  10. Ouvrez les propriétés de machine virtuelle du capteur OT .

  11. Pour Carte réseau 2, sélectionnez le réseau SPAN .

  12. Sélectionnez OK.

  13. Connectez-vous au capteur et vérifiez que la mise en miroir fonctionne.

Valider la mise en miroir du trafic

Après avoir configuré la mise en miroir du trafic, essayez de recevoir un exemple de trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur ou miroir.

Un exemple de fichier PCAP vous aidera à :

  • Valider la configuration du commutateur
  • Vérifiez que le trafic transitant par votre commutateur est pertinent pour la surveillance
  • Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur

  1. Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port sur lequel vous avez configuré la surveillance du trafic.

  2. Vérifiez que les paquets unicast sont présents dans le trafic d’enregistrement. Le trafic de monodiffusion est le trafic envoyé d’une adresse à une autre.

    Si la majeure partie du trafic est des messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.

  3. Vérifiez que vos protocoles OT sont présents dans le trafic analysé.

    Par exemple :

    Capture d’écran de la validation Wireshark.

Étapes suivantes

« Intégrer des capteurs OT à Defender pour IoT

Provisionner des capteurs OT pour la gestion cloud »

  • Last updated on