Bagikan melalui


Mengonfigurasi pencerminan lalu lintas dengan Hyper-V vSwitch

Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.

Diagram of a progress bar with Network level deployment highlighted.

Artikel ini menjelaskan cara menggunakan mode Promiscuous di lingkungan Hyper-V Vswitch sebagai solusi untuk mengonfigurasi pencerminan lalu lintas, mirip dengan port SPAN. Port SPAN pada sakelar Anda mencerminkan lalu lintas lokal dari antarmuka pada sakelar ke antarmuka yang berbeda pada sakelar yang sama.

Untuk informasi selengkapnya, lihat Pencerminan lalu lintas dengan sakelar virtual.

Prasyarat

Sebelum memulai:

  • Pastikan Anda memahami rencana anda untuk pemantauan jaringan dengan Defender for IoT, dan port SPAN yang ingin Anda konfigurasi.

    Untuk informasi selengkapnya, lihat Metode pencerminan lalu lintas untuk pemantauan OT.

  • Pastikan tidak ada instans appliance virtual yang berjalan.

  • Pastikan Anda telah mengaktifkan Pastikan SPAN pada port data sakelar virtual Anda, dan bukan port manajemen.

  • Pastikan konfigurasi SPAN port data tidak dikonfigurasi dengan alamat IP.

Mengonfigurasi port pencerminan lalu lintas dengan Hyper-V

  1. Buka Virtual Switch Manager.

  2. Di daftar Sakelar virtual, pilih Sakelar>jaringan virtual baru Eksternal sebagai jenis adaptor jaringan terbenam khusus.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Pilih Buat Pengalihan Virtual.

  4. Di area jenis Koneksi ion, pilih Jaringan eksternal dan pastikan bahwa opsi Izinkan sistem operasi manajemen untuk berbagi adaptor jaringan ini dipilih. Misalnya:

    Screenshot of the External network option.

  5. Pilih OK.

Lampirkan Antarmuka SPAN Virtual ke pengalihan virtual

Gunakan Windows PowerShell atau Hyper-V Manager untuk melampirkan antarmuka virtual SPAN ke sakelar virtual yang telah Anda buat sebelumnya.

Jika Anda menggunakan PowerShell, tentukan nama perangkat keras adaptor yang baru ditambahkan sebagai Monitor. Jika Anda menggunakan Hyper-V Manager, nama perangkat keras adaptor yang baru ditambahkan diatur ke Network Adapter.

Melampirkan antarmuka virtual SPAN ke sakelar virtual dengan PowerShell

  1. Pilih sakelar virtual SPAN yang baru ditambahkan yang telah Anda konfigurasi sebelumnya, dan jalankan perintah berikut untuk menambahkan adaptor jaringan baru:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Aktifkan port yang mencerminkan antarmuka yang dipilih sebagai tujuan rentang dengan perintah berikut:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Mana:

    Parameter Deskripsi
    VK-C1000V-LongRunning-650 CPPM VA name
    vSwitch_Span Nama pengalihan virtual SPAN yang baru ditambahkan
    Pemantauan Nama adaptor yang baru ditambahkan
  3. Setelah selesai, pilih OK.

Melampirkan antarmuka virtual SPAN ke sakelar virtual dengan Hyper-V Manager

  1. Di bawah daftar Perangkat Keras Hyper-V Manager, pilih Adapter Jaringan.

  2. Di bidang Sakelar virtual, pilih vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Di daftar Perangkat Keras, di bawah daftar drop-down Adapter Jaringan, pilih Akselerasi Perangkat Keras dan hapus opsi Antrean Komputer Virtual untuk antarmuka jaringan pemantauan.

  4. Di daftar Perangkat Keras, di bawah daftar drop-down Adapter Jaringan, pilih Fitur Tingkat Lanjut. Di bawah bagian Pencerminan Port, pilih Tujuan sebagai mode pencerminan untuk antarmuka virtual baru.

    Screenshot of the selections needed to configure mirroring mode.

  5. Pilih OK.

Mengaktifkan ekstensi penangkapan Microsoft NDIS

Aktifkan dukungan untuk Microsoft NDIS Capture Extensions untuk sakelar virtual yang telah Anda buat sebelumnya.

Untuk mengaktifkan ekstensi penangkapan Microsoft NDIS untuk sakelar virtual baru Anda:

  1. Buka Virtual Switch Manager di host Hyper-V.

  2. Dalam daftar Virtual Switches, perluas nama pengalih virtual vSwitch_Span ​​dan pilih Ekstensi.

  3. Di bidang Switch Extensions, pilih Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Pilih OK.

Mengonfigurasi mode pencerminan sakelar

Konfigurasikan mode pencerminan pada sakelar virtual yang telah Anda buat sebelumnya sehingga port eksternal didefinisikan sebagai sumber pencerminan. Ini termasuk mengonfigurasi sakelar virtual Hyper-V (vSwitch_Span) untuk meneruskan lalu lintas apa pun yang datang ke port sumber eksternal ke adaptor jaringan virtual yang dikonfigurasi sebagai tujuan.

Untuk mengatur port eksternal sakelar virtual sebagai mode cermin sumber, jalankan:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Mana:

Parameter Deskripsi
vSwitch_Span Nama sakelar virtual yang telah Anda buat sebelumnya
MonitorMode=2 Sumber
MonitorMode=1 Tujuan
MonitorMode=0 Tidak

Untuk memverifikasi status mode pemantauan, jalankan:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter Deskripsi
vSwitch_Span Nama pengalihan virtual SPAN yang baru ditambahkan

Memvalidasi pencerminan lalu lintas

Setelah mengonfigurasi pencerminan lalu lintas, lakukan upaya untuk menerima sampel lalu lintas yang direkam (file PCAP) dari SPAN switch atau port cermin.

Contoh file PCAP akan membantu Anda:

  • Memvalidasi konfigurasi pengalihan
  • Konfirmasikan bahwa lalu lintas yang melalui switch Anda relevan untuk pemantauan
  • Mengidentifikasi bandwidth dan perkiraan jumlah perangkat yang terdeteksi oleh sakelar
  1. Gunakan aplikasi penganalisis protokol jaringan, seperti Wireshark, untuk merekam sampel file PCAP selama beberapa menit. Misalnya, sambungkan laptop ke port tempat Anda mengonfigurasi pemantauan lalu lintas.

  2. Periksa apakah paket Unicast ada di lalu lintas rekaman. Lalu lintas Unicast dikirim dari alamat ke alamat lain.

    Jika sebagian besar lalu lintas adalah pesan ARP, konfigurasi pencerminan lalu lintas Anda tidak benar.

  3. Verifikasi bahwa protokol OT Anda ada dalam lalu lintas yang dianalisis.

    Misalnya:

    Screenshot of Wireshark validation.

Langkah berikutnya