Forgalomtükrözés konfigurálása ESXi vSwitch használatával
Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.
Ez a cikk azt ismerteti, hogyan használhat promiscuous módot ESXi vSwitch környezetben a forgalomtükrözés konfigurálásához, hasonlóan a SPAN-porthoz. A kapcsoló span portja a kapcsoló felületeiről egy másik adapterre irányítja a helyi forgalmat ugyanazon a kapcsolón.
További információ: Forgalomtükrözés virtuális kapcsolókkal.
Előfeltételek
Mielőtt hozzákezd, győződjön meg arról, hogy tisztában van a Defender for IoT hálózatfigyelési tervével és a konfigurálni kívánt SPAN-portokkal.
További információ: Forgalomtükrözési módszerek az OT-monitorozáshoz.
Monitorozási felület konfigurálása promiscuous módban
Monitorozási felület konfigurálása promiscuous móddal ESXi v-Switchen:
Nyissa meg a vSwitch tulajdonságai lapot, és válassza a Standard virtuális kapcsoló hozzáadása lehetőséget.
Adja meg a SPAN Networkt hálózati címkeként.
Az MTU mezőbe írja be a 4096 értéket.
Válassza a Biztonság lehetőséget, és győződjön meg arról, hogy a "Promiscuous Mode" szabályzat elfogadási módra van állítva.
Válassza a Hozzáadás lehetőséget a vSwitch tulajdonságainak bezárásához.
Jelölje ki az imént létrehozott vSwitch-et, és válassza a Hozzáadás hivatkozás lehetőséget.
Válassza ki a SPAN-forgalomhoz használni kívánt fizikai hálózati adaptert, módosítsa az MTU-t 4096-ra, majd válassza a Mentés lehetőséget.
Nyissa meg a Portcsoport tulajdonságai lapot, és válassza a Portcsoport hozzáadása lehetőséget.
Névként adja meg a SPAN portcsoportot , adja meg a 4095-öt VLAN-azonosítóként, és válassza a SPAN Network lehetőséget a vSwitch legördülő listában, majd válassza a Hozzáadás lehetőséget.
Nyissa meg az OT-érzékelő virtuális gép tulajdonságait.
A 2. hálózati adapter esetében válassza ki a SPAN hálózatot.
Kattintson az OK gombra.
Csatlakozás az érzékelőhöz, és ellenőrizze, hogy működik-e a tükrözés.
Forgalomtükrözés ellenőrzése
A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.
A PCAP-mintafájl a következő segítségére lesz:
- A kapcsoló konfigurációjának ellenőrzése
- Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
- A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása
Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.
Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az egycímes forgalom a címről egy másikba küldött forgalom.
Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.
Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.
Példa: