Megosztás a következőn keresztül:


Forgalomtükrözés konfigurálása ESXi vSwitch használatával

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.

Diagram of a progress bar with Network level deployment highlighted.

Ez a cikk azt ismerteti, hogyan használhat promiscuous módot ESXi vSwitch környezetben a forgalomtükrözés konfigurálásához, hasonlóan a SPAN-porthoz. A kapcsoló span portja a kapcsoló felületeiről egy másik adapterre irányítja a helyi forgalmat ugyanazon a kapcsolón.

További információ: Forgalomtükrözés virtuális kapcsolókkal.

Előfeltételek

Mielőtt hozzákezd, győződjön meg arról, hogy tisztában van a Defender for IoT hálózatfigyelési tervével és a konfigurálni kívánt SPAN-portokkal.

További információ: Forgalomtükrözési módszerek az OT-monitorozáshoz.

Monitorozási felület konfigurálása promiscuous módban

Monitorozási felület konfigurálása promiscuous móddal ESXi v-Switchen:

  1. Nyissa meg a vSwitch tulajdonságai lapot, és válassza a Standard virtuális kapcsoló hozzáadása lehetőséget.

  2. Adja meg a SPAN Networkt hálózati címkeként.

  3. Az MTU mezőbe írja be a 4096 értéket.

  4. Válassza a Biztonság lehetőséget, és győződjön meg arról, hogy a "Promiscuous Mode" szabályzat elfogadási módra van állítva.

  5. Válassza a Hozzáadás lehetőséget a vSwitch tulajdonságainak bezárásához.

  6. Jelölje ki az imént létrehozott vSwitch-et, és válassza a Hozzáadás hivatkozás lehetőséget.

  7. Válassza ki a SPAN-forgalomhoz használni kívánt fizikai hálózati adaptert, módosítsa az MTU-t 4096-ra, majd válassza a Mentés lehetőséget.

  8. Nyissa meg a Portcsoport tulajdonságai lapot, és válassza a Portcsoport hozzáadása lehetőséget.

  9. Névként adja meg a SPAN portcsoportot , adja meg a 4095-öt VLAN-azonosítóként, és válassza a SPAN Network lehetőséget a vSwitch legördülő listában, majd válassza a Hozzáadás lehetőséget.

  10. Nyissa meg az OT-érzékelő virtuális gép tulajdonságait.

  11. A 2. hálózati adapter esetében válassza ki a SPAN hálózatot.

  12. Kattintson az OK gombra.

  13. Csatlakozás az érzékelőhöz, és ellenőrizze, hogy működik-e a tükrözés.

Forgalomtükrözés ellenőrzése

A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.

A PCAP-mintafájl a következő segítségére lesz:

  • A kapcsoló konfigurációjának ellenőrzése
  • Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
  • A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása
  1. Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.

  2. Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az egycímes forgalom a címről egy másikba küldött forgalom.

    Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.

  3. Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.

    Példa:

    Screenshot of Wireshark validation.

Következő lépések