Mengonfigurasi pencerminan lalu lintas dengan Hyper-V vSwitch
Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.
Artikel ini menjelaskan cara menggunakan mode Promiscuous di lingkungan Hyper-V Vswitch sebagai solusi untuk mengonfigurasi pencerminan lalu lintas, mirip dengan port SPAN. Port SPAN pada sakelar Anda mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama.
Untuk informasi selengkapnya, lihat Pencerminan lalu lintas dengan sakelar virtual.
Prasyarat
Sebelum memulai:
Pastikan Anda memahami rencana anda untuk pemantauan jaringan dengan Defender for IoT, dan port SPAN yang ingin Anda konfigurasi.
Untuk informasi selengkapnya, lihat Metode pencerminan lalu lintas untuk pemantauan OT.
Pastikan tidak ada instans appliance virtual yang berjalan.
Pastikan Anda telah mengaktifkan Pastikan SPAN pada port data sakelar virtual Anda, dan bukan port manajemen.
Pastikan konfigurasi SPAN port data tidak dikonfigurasi dengan alamat IP.
Mengonfigurasi port pencerminan lalu lintas dengan Hyper-V
Buka Virtual Switch Manager.
Di daftar Sakelar virtual, pilih Sakelar>jaringan virtual baru Eksternal sebagai jenis adaptor jaringan terbenam khusus.
Pilih Buat Pengalihan Virtual.
Di area jenis Koneksi ion, pilih Jaringan eksternal dan pastikan bahwa opsi Izinkan sistem operasi manajemen untuk berbagi adaptor jaringan ini dipilih. Misalnya:
Pilih OK.
Lampirkan Antarmuka SPAN Virtual ke pengalihan virtual
Gunakan Windows PowerShell atau Hyper-V Manager untuk melampirkan antarmuka virtual SPAN ke sakelar virtual yang telah Anda buat sebelumnya.
Jika Anda menggunakan PowerShell, tentukan nama perangkat keras adaptor yang baru ditambahkan sebagai Monitor. Jika Anda menggunakan Hyper-V Manager, nama perangkat keras adaptor yang baru ditambahkan diatur ke Network Adapter.
Melampirkan antarmuka virtual SPAN ke sakelar virtual dengan PowerShell
Pilih sakelar virtual SPAN yang baru ditambahkan yang telah Anda konfigurasi sebelumnya, dan jalankan perintah berikut untuk menambahkan adaptor jaringan baru:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanAktifkan port yang mencerminkan antarmuka yang dipilih sebagai tujuan rentang dengan perintah berikut:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationMana:
Parameter Deskripsi VK-C1000V-LongRunning-650 CPPM VA name vSwitch_Span Nama pengalihan virtual SPAN yang baru ditambahkan Pemantauan Nama adaptor yang baru ditambahkan Setelah selesai, pilih OK.
Melampirkan antarmuka virtual SPAN ke sakelar virtual dengan Hyper-V Manager
Di bawah daftar Perangkat Keras Hyper-V Manager, pilih Adapter Jaringan.
Di bidang Sakelar virtual, pilih vSwitch_Span.
Di daftar Perangkat Keras, di bawah daftar drop-down Adapter Jaringan, pilih Akselerasi Perangkat Keras dan hapus opsi Antrean Komputer Virtual untuk antarmuka jaringan pemantauan.
Di daftar Perangkat Keras, di bawah daftar drop-down Adapter Jaringan, pilih Fitur Tingkat Lanjut. Di bawah bagian Pencerminan Port, pilih Tujuan sebagai mode pencerminan untuk antarmuka virtual baru.
Pilih OK.
Mengaktifkan ekstensi penangkapan Microsoft NDIS
Aktifkan dukungan untuk Microsoft NDIS Capture Extensions untuk sakelar virtual yang telah Anda buat sebelumnya.
Untuk mengaktifkan ekstensi penangkapan Microsoft NDIS untuk sakelar virtual baru Anda:
Buka Virtual Switch Manager di host Hyper-V.
Dalam daftar Virtual Switches, perluas nama pengalih virtual
vSwitch_Spandan pilih Ekstensi.Di bidang Switch Extensions, pilih Microsoft NDIS Capture.
Pilih OK.
Mengonfigurasi mode pencerminan sakelar
Konfigurasikan mode pencerminan pada sakelar virtual yang telah Anda buat sebelumnya sehingga port eksternal didefinisikan sebagai sumber pencerminan. Ini termasuk mengonfigurasi sakelar virtual Hyper-V (vSwitch_Span) untuk meneruskan lalu lintas apa pun yang datang ke port sumber eksternal ke adaptor jaringan virtual yang dikonfigurasi sebagai tujuan.
Untuk mengatur port eksternal sakelar virtual sebagai mode cermin sumber, jalankan:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Mana:
| Parameter | Deskripsi |
|---|---|
| vSwitch_Span | Nama sakelar virtual yang telah Anda buat sebelumnya |
| MonitorMode=2 | Sumber |
| MonitorMode=1 | Tujuan |
| MonitorMode=0 | Tidak |
Untuk memverifikasi status mode pemantauan, jalankan:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parameter | Deskripsi |
|---|---|
| vSwitch_Span | Nama pengalihan virtual SPAN yang baru ditambahkan |
Memvalidasi pencerminan lalu lintas
Setelah mengonfigurasi pencerminan lalu lintas, lakukan upaya untuk menerima sampel lalu lintas yang direkam (file PCAP) dari SPAN switch atau port cermin.
Contoh file PCAP akan membantu Anda:
- Memvalidasi konfigurasi pengalihan
- Konfirmasikan bahwa lalu lintas yang melalui switch Anda relevan untuk pemantauan
- Mengidentifikasi bandwidth dan perkiraan jumlah perangkat yang terdeteksi oleh sakelar
Gunakan aplikasi penganalisis protokol jaringan, seperti Wireshark, untuk merekam sampel file PCAP selama beberapa menit. Misalnya, sambungkan laptop ke port tempat Anda mengonfigurasi pemantauan lalu lintas.
Periksa apakah paket Unicast ada di lalu lintas rekaman. Lalu lintas Unicast dikirim dari alamat ke alamat lain.
Jika sebagian besar lalu lintas adalah pesan ARP, konfigurasi pencerminan lalu lintas Anda tidak benar.
Verifikasi bahwa protokol OT Anda ada dalam lalu lintas yang dianalisis.
Misalnya:
