Bagikan melalui

Mengonfigurasi pencerminan lalu lintas dengan port Remote SPAN (RSPAN)

  • Artikel

Artikel ini adalah satu dari serangkaian artikel yang menjelaskan jalur penyebaran untuk pemantauan OT dengan Pertahanan Microsoft untuk IoT.

Diagram of a progress bar with Network level deployment highlighted.

Artikel ini menjelaskan prosedur sampel untuk mengonfigurasi RSPAN pada sakelar Cisco 2960 dengan 24 port yang menjalankan IOS.

Penting

Artikel ini hanya dimaksudkan sebagai panduan dan bukan sebagai instruksi. Cerminkan port pada sistem operasi Cisco lainnya dan merek switch lainnya dikonfigurasi secara berbeda. Untuk informasi selengkapnya, lihat dokumentasi pengalihan Anda.

Prasyarat

  • Sebelum memulai, pastikan Anda memahami rencana untuk pemantauan jaringan dengan Defender for IoT, dan port SPAN yang ingin Anda konfigurasi.

    Untuk informasi selengkapnya, lihat Metode pencerminan lalu lintas untuk pemantauan OT.

  • RSPAN memerlukan VLAN tertentu untuk membawa lalu lintas SPAN yang dipantau antar switch. Sebelum memulai, pastikan sakelar Anda mendukung RSPAN.

  • Pastikan bahwa opsi pencerminan pada sakelar Anda dimatikan.

  • Pastikan bahwa VLAN jarak jauh diizinkan pada port yang dipotong antara sakelar sumber dan tujuan.

  • Pastikan bahwa semua sakelar yang terhubung ke sesi RSPAN yang sama berasal dari vendor yang sama.

  • Pastikan bahwa port trunk yang berbagi VLAN jarak jauh yang sama antara sakelar belum didefinisikan sebagai port sumber sesi cermin.

  • VLAN jarak jauh meningkatkan bandwidth pada port yang dipotong dengan jumlah lalu lintas yang dicerminkan dari sesi sumber. Pastikan port trunk switch Anda dapat mendukung peningkatan bandwidth.

Perhatian

Peningkatan bandwidth, baik karena throughput dalam jumlah besar atau sejumlah besar sakelar, dapat menyebabkan pengalihan gagal dan karenanya menurunkan seluruh jaringan. Saat mengonfigurasi pencerminan lalu lintas dengan RSPAN, pastikan untuk mempertimbangkan hal berikut:

  • Jumlah sakelar akses/distribusi yang Anda konfigurasi dengan RSPAN.
  • Throughput yang berkorelasi untuk VLAN jarak jauh pada setiap sakelar.

Mengonfigurasi sakelar sumber

Pada sakelar sumber Anda:

  1. Masukkan global configuration mode dan buat VLAN khusus baru.

  2. Identifikasi VLAN baru Anda sebagai VLAN RSPAN, lalu kembali ke configure terminal mode.

  3. Konfigurasi semua 24 port sebagai sumber sesi.

  4. Konfigurasi RSPAN VLAN untuk menjadi tujuan sesi.

  5. Kembali ke mode istimewa EXEC dan verifikasi konfigurasi pencerminan port.

Mengonfigurasi sakelar tujuan

Pada sakelar tujuan Anda:

  1. Masukkan global configuration mode, dan konfigurasikan VLAN RSPAN untuk menjadi sumber sesi.

  2. Konfigurasi port fisik 24 untuk menjadi tujuan sesi.

  3. Kembali ke mode istimewa EXEC dan verifikasi konfigurasi pencerminan port.

  4. Simpan konfigurasi.

Memvalidasi pencerminan lalu lintas

Setelah mengonfigurasi pencerminan lalu lintas, lakukan upaya untuk menerima sampel lalu lintas yang direkam (file PCAP) dari SPAN switch atau port cermin.

Contoh file PCAP akan membantu Anda:

  • Memvalidasi konfigurasi pengalihan
  • Konfirmasikan bahwa lalu lintas yang melalui switch Anda relevan untuk pemantauan
  • Mengidentifikasi bandwidth dan perkiraan jumlah perangkat yang terdeteksi oleh sakelar

  1. Gunakan aplikasi penganalisis protokol jaringan, seperti Wireshark, untuk merekam sampel file PCAP selama beberapa menit. Misalnya, sambungkan laptop ke port tempat Anda mengonfigurasi pemantauan lalu lintas.

  2. Periksa apakah paket Unicast ada di lalu lintas rekaman. Lalu lintas Unicast dikirim dari alamat ke alamat lain.

    Jika sebagian besar lalu lintas adalah pesan ARP, konfigurasi pencerminan lalu lintas Anda tidak benar.

  3. Verifikasi bahwa protokol OT Anda ada dalam lalu lintas yang dianalisis.

    Misalnya:

    Screenshot of Wireshark validation.

Langkah berikutnya

« Sensor OT Onboard ke Defender untuk IoT

Memprovisikan sensor OT untuk manajemen cloud »