Megosztás a következőn keresztül:


Forgalomtükrözés konfigurálása Hyper-V vSwitch használatával

Ez a cikk a Microsoft Defender for IoT-hez készült OT-monitorozás üzembehelyezési útvonalát ismerteti.

Diagram of a progress bar with Network level deployment highlighted.

Ez a cikk azt ismerteti, hogyan használható a Promiscuous mód Hyper-V Vswitch-környezetben a forgalomtükrözés konfigurálásához, hasonlóan a SPAN-porthoz. A kapcsoló span portja a kapcsoló felületeiről egy másik adapterre irányítja a helyi forgalmat ugyanazon a kapcsolón.

További információ: Forgalomtükrözés virtuális kapcsolókkal.

Előfeltételek

Előkészületek:

  • Győződjön meg arról, hogy tisztában van a Defender for IoT hálózatfigyelési tervével és a konfigurálni kívánt SPAN-portokkal.

    További információ: Forgalomtükrözési módszerek az OT-monitorozáshoz.

  • Győződjön meg arról, hogy nem fut virtuális berendezés.

  • Győződjön meg arról, hogy engedélyezte a SPAN beállítást a virtuális kapcsoló adatportján, nem pedig a felügyeleti porton.

  • Győződjön meg arról, hogy az adatport SPAN konfigurációja nincs IP-címmel konfigurálva.

Forgalomtükrözési port konfigurálása Hyper-V-vel

  1. Nyissa meg a Virtual Switch Managert.

  2. A Virtuális kapcsolók listában válassza az Új virtuális hálózati kapcsoló>külső lehetőséget dedikált, spanned hálózati adaptertípusként.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Válassza a Virtuális kapcsoló létrehozása lehetőséget.

  4. A Csatlakozás ion típusterületen válassza a Külső hálózat lehetőséget, és győződjön meg arról, hogy a hálózati adapter megosztásának engedélyezése a felügyeleti operációs rendszer számára jelölőnégyzet be van jelölve. Példa:

    Screenshot of the External network option.

  5. Kattintson az OK gombra.

SPAN virtuális adapter csatolása a virtuális kapcsolóhoz

A Windows PowerShell vagy a Hyper-V Manager használatával span virtuális adaptert csatolhat a korábban létrehozott virtuális kapcsolóhoz.

Ha a PowerShellt használja, adja meg az újonnan hozzáadott adapterhardver nevét.Monitor Ha Hyper-V Managert használ, az újonnan hozzáadott adapterhardver neve a következőre Network Adaptervan állítva: .

SPAN virtuális adapter csatolása a virtuális kapcsolóhoz a PowerShell használatával

  1. Válassza ki a korábban konfigurált újonnan hozzáadott SPAN virtuális kapcsolót, és futtassa a következő parancsot egy új hálózati adapter hozzáadásához:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Engedélyezze a porttükrözést a kiválasztott felülethez a span célhelyként az alábbi paranccsal:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Ahol:

    Paraméter Leírás
    VK-C1000V-LongRunning-650 CPPM VA neve
    vSwitch_Span Újonnan hozzáadott SPAN virtuális kapcsoló neve
    Figyelés Újonnan hozzáadott adapter neve
  3. Amikor elkészült, válassza az OK lehetőséget.

SPAN virtuális adapter csatolása a virtuális kapcsolóhoz a Hyper-V Managerrel

  1. A Hyper-V Manager hardverlistájában válassza a Hálózati adapter lehetőséget.

  2. A Virtuális kapcsoló mezőben válassza a vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. A Hardver listában a Hálózati adapter legördülő lista alatt válassza a Hardveres gyorsítás lehetőséget, és törölje a virtuálisgép-üzenetsor beállítás jelölését a monitorozási hálózati adapterhez.

  4. A Hardver listában, a Hálózati adapter legördülő listában válassza a Speciális szolgáltatások lehetőséget. A Porttükrözés szakaszban válassza a Cél lehetőséget az új virtuális felület tükrözési módjaként.

    Screenshot of the selections needed to configure mirroring mode.

  5. Kattintson az OK gombra.

A Microsoft NDIS rögzítési bővítményeinek bekapcsolása

Kapcsolja be a Microsoft NDIS Capture Extensions támogatását a korábban létrehozott virtuális kapcsolóhoz.

A Microsoft NDIS rögzítési bővítményeinek engedélyezése az új virtuális kapcsolóhoz:

  1. Nyissa meg a Virtual Switch Managert a Hyper-V gazdagépen.

  2. A Virtuális kapcsolók listában bontsa ki a virtuális kapcsoló nevét vSwitch_Span , és válassza a Bővítmények lehetőséget.

  3. A Bővítmények váltása mezőben válassza a Microsoft NDIS Capture lehetőséget.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Kattintson az OK gombra.

A kapcsoló tükrözési módjának konfigurálása

Konfigurálja a tükrözési módot a korábban létrehozott virtuális kapcsolón, hogy a külső port tükrözési forrásként legyen definiálva. Ez magában foglalja a Hyper-V virtuális kapcsoló (vSwitch_Span) konfigurálását a külső forrásportra érkező forgalom célként konfigurált virtuális hálózati adapterre való továbbításához.

A virtuális kapcsoló külső portjának forrástükrözési módként való beállításához futtassa a következőt:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Ahol:

Paraméter Leírás
vSwitch_Span A korábban létrehozott virtuális kapcsoló neve
MonitorMode=2 Forrás
MonitorMode=1 Cél
MonitorMode=0 Egyik sem

A figyelési mód állapotának ellenőrzéséhez futtassa a következőt:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Paraméter Leírás
vSwitch_Span Újonnan hozzáadott SPAN virtuális kapcsoló neve

Forgalomtükrözés ellenőrzése

A forgalomtükrözés konfigurálása után próbáljon meg mintát kapni a rögzített forgalomból (PCAP-fájl) a SPAN kapcsolóból vagy a tükrözési portról.

A PCAP-mintafájl a következő segítségére lesz:

  • A kapcsoló konfigurációjának ellenőrzése
  • Ellenőrizze, hogy a kapcsolón áthaladó forgalom releváns-e a figyeléshez
  • A sávszélesség és a kapcsoló által észlelt eszközök becsült számának azonosítása
  1. Használjon hálózati protokollelemző alkalmazást, például a Wiresharkot egy PCAP-mintafájl rögzítéséhez néhány percig. Csatlakoztathat például egy laptopot egy porthoz, ahol konfigurálta a forgalomfigyelést.

  2. Ellenőrizze, hogy az Unicast-csomagok szerepelnek-e a rögzítési forgalomban. Az egycímes forgalom a címről egy másikba küldött forgalom.

    Ha a forgalom nagy része ARP-üzenet, a forgalomtükrözés konfigurációja nem megfelelő.

  3. Ellenőrizze, hogy az OT-protokollok jelen vannak-e az elemzett forgalomban.

    Példa:

    Screenshot of Wireshark validation.

Következő lépések