Configurer la mise en miroir du trafic avec un commutateur virtuel Hyper-V

  • Article

Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.

Diagram of a progress bar with Network level deployment highlighted.

Cet article explique comment utiliser le mode Promiscuous dans un environnement vSwitch Hyper-V comme solution de contournement pour configurer la mise en miroir du trafic, comme un port SPAN. Un port SPAN sur votre commutateur met en miroir le trafic local des interfaces sur le commutateur vers une autre interface sur le même commutateur.

Pour plus d’informations, consultez Mise en miroir du trafic avec des commutateurs virtuels.

Prérequis

Avant de commencer :

  • Assurez-vous de bien comprendre votre plan de supervision réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.

    Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.

  • Vérifier qu’aucune instance d’appliance virtuelle n’est en cours d’exécution.

  • Vérifiez que vous avez activé Garantir SPAN sur le port de données de votre commutateur virtuel et non sur le port de gestion.

  • Vérifier que la configuration SPAN du port de données n’est pas définie avec une adresse IP.

Configurer un port de mise en miroir du trafic avec Hyper-V

  1. Ouvrez le gestionnaire de commutateur virtuel.

  2. Dans la liste Commutateurs virtuels, sélectionnez Nouveau commutateur réseau virtuel>Externe comme type de carte réseau avec SPAN dédiée.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Sélectionnez Créer un commutateur virtuel.

  4. Dans la zone Type de connexion, sélectionnez Réseau externe et vérifiez que l’option Autoriser le système d’exploitation de gestion à partager cette carte réseau est sélectionnée. Par exemple :

    Screenshot of the External network option.

  5. Cliquez sur OK.

Attacher une interface virtuelle SPAN au commutateur virtuel

Utilisez Windows PowerShell ou le gestionnaire Hyper-V pour attacher une interface virtuelle SPAN au commutateur virtuel que vous avez créé.

Si vous utilisez PowerShell, définissez le matériel de l’adaptateur récemment ajouté avec le nom Monitor. Si vous utilisez le gestionnaire Hyper-V, le matériel de l’adaptateur récemment ajouté est défini avec le nom Network Adapter.

Attacher une interface virtuelle SPAN au commutateur virtuel avec PowerShell

  1. Sélectionnez le commutateur virtuel SPAN récemment ajouté que vous avez configuré plus tôt, puis exécutez la commande suivante pour ajouter une nouvelle carte réseau :

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Activez la mise en miroir des ports pour l’interface sélectionnée comme destination SPAN avec la commande suivante :

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Où :

    Paramètre Description
    VK-C1000V-LongRunning-650 Nom VA CPPM
    vSwitch_Span Nom du commutateur virtuel SPAN récemment ajouté
    Surveiller Nom de l’adaptateur récemment ajouté

  3. Quand vous avez terminé, sélectionnez OK.

Attacher une interface virtuelle SPAN au commutateur virtuel avec le gestionnaire Hyper-V

  1. Sous la liste Matériel du gestionnaire Hyper-V, sélectionnez Carte réseau.

  2. Dans le champ Commutateur virtuel, sélectionnez vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Dans la liste Matériel, sous la liste déroulante Carte réseau, sélectionnez Accélération matérielle et désactivez l’option File d’attente d’ordinateurs virtuels pour l’interface réseau de supervision.

  4. Dans la liste Matériel, sous la liste déroulante Cartes réseau, sélectionnez Fonctionnalités avancées. Dans la section Mise en miroir des ports, sélectionnez Destination comme mode de mise en miroir pour la nouvelle interface virtuelle.

    Screenshot of the selections needed to configure mirroring mode.

  5. Cliquez sur OK.

Activer les extensions Microsoft NDIS Capture

Activez la prise en charge des Extensions Microsoft NDIS Capture pour le commutateur virtuel que vous avez créé.

Pour activer les extensions Microsoft NDIS Capture pour votre nouveau commutateur virtuel :

  1. Ouvrez le gestionnaire de commutateur virtuel sur l’hôte Hyper-V.

  2. Dans la liste des commutateurs virtuels, développez le nom du commutateur virtuel vSwitch_Span et sélectionnez Extensions.

  3. Dans le champ Extensions du commutateur, sélectionnez Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Cliquez sur OK.

Configurer le mode de mise en miroir du commutateur

Configurez le mode de mise en miroir sur le commutateur virtuel que vous avez créé afin que le port externe soit défini comme source de mise en miroir. Cette opération inclut la configuration du commutateur virtuel Hyper-V (vSwitch_Span) pour transférer tout le trafic qui arrive au port source externe vers une carte réseau virtuelle configurée comme destination.

Pour définir le port externe du commutateur virtuel comme mode miroir source, exécutez :

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Où :

Paramètre Description
vSwitch_Span Nom du commutateur virtuel que vous avez créé
MonitorMode=2 Source
MonitorMode=1 Destination
MonitorMode=0 Aucun

Pour vérifier l’état du mode de supervision, exécutez :

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Paramètre Description
vSwitch_Span Nom du commutateur virtuel SPAN récemment ajouté

Valider la mise en miroir du trafic

Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).

Un exemple de fichier PCAP vous aidera à :

  • Valider la configuration du commutateur
  • Vérifier que le trafic transitant par votre commutateur est pertinent pour la supervision
  • Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur

  1. Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.

  2. Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.

    Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.

  3. Vérifiez que vos protocoles OT sont présents dans le trafic analysé.

    Par exemple :

    Screenshot of Wireshark validation.

Étapes suivantes

« Intégrer des capteurs OT à Defender pour IoT

Approvisionner des capteurs OT pour la gestion cloud »