英語で読む

次の方法で共有

Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する

  • [アーティクル]

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。

ネットワーク レベルのデプロイが強調表示された進行状況バーの図。

この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、Hyper-V Vswitch 環境で "無作為検出モード" を使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。

詳細については、「仮想スイッチを使用したトラフィック ミラーリング」に関するページを参照してください。

前提条件

開始する前に次の操作を実行してください。

  • Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。

    詳細については、OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください

  • 仮想アプライアンスのインスタンスが実行されていないことを確認します。

  • 有効にしたのが管理ポートではなく、仮想スイッチのデータ ポート上の SPAN であることを確認します。

  • データ ポートの SPAN 構成が IP アドレスを使用して構成されていないことを確認します。

ミラーリングされたトラフィックを VM にリレーする新しい Hyper-V 仮想スイッチを作成する

PowerShell で新しい仮想スイッチを作成する

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

ここで:

パラメーター 説明
vSwitch_Span 新しく追加された SPAN 仮想スイッチ名
イーサネット 物理アダプターの名前

方法については、「Hyper-V を使用して仮想スイッチを作成して構成する」をご覧ください。

Hyper-V マネージャーで新しい仮想スイッチを作成する

  1. 仮想スイッチ マネージャーを開きます。

  2. [仮想スイッチ] の一覧で、専用のスパン ネットワーク アダプターの種類として [新しい仮想ネットワーク スイッチ]>[外付け] の順に選択します。

    仮想スイッチを作成する前に、[新しい仮想ネットワーク スイッチ] と [External]\(外付け\) を選択したスクリーンショット。

  3. [仮想スイッチの作成] を選択します。

  4. [接続の種類] 領域で、[外部ネットワーク] を選択し、[管理オペレーティング システムによるこのネットワーク アダプターの共有を許可する] オプションが選択されていることを確認します。 次に例を示します。

    [外部ネットワーク] オプションのスクリーンショット。

  5. [OK] を選択します。

SPAN 仮想インターフェイスを仮想スイッチに接続する

Windows PowerShell または Hyper-V マネージャーを使って、前に作成した仮想スイッチに SPAN 仮想インターフェイスをアタッチします。

PowerShell を使用する場合は、新しく追加されたアダプター ハードウェアの名前を Monitor として定義します。 Hyper-V マネージャーを使用する場合は、新しく追加されたアダプター ハードウェアの名前が Network Adapter に設定されます。

PowerShell を使用して SPAN 仮想インターフェイスを仮想スイッチに接続する

  1. 前に作成して新しく追加した SPAN 仮想スイッチを選び、次のコマンドを実行して新しいネットワーク アダプターを追加します。

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. 次のコマンドを使用して、選択したインターフェイスで、スパン先としてポート ミラーリングを有効にします。

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    各値の説明:

    パラメーター 説明
    VK-C1000V-LongRunning-650 CPPM VA 名
    vSwitch_Span 新しく追加された SPAN 仮想スイッチ名
    監視 新しく追加されたアダプター名

  3. 終了したら、 [OK] を選択します。

Hyper-V マネージャーを使用して SPAN 仮想インターフェイスを仮想スイッチに接続する

  1. Hyper-V マネージャーの [ハードウェア] の一覧で、[ネットワーク アダプター] を選択します。

  2. [仮想スイッチ] フィールドで、[vSwitch_Span] を選択します。

    仮想スイッチの画面で、それに続くオプションを選択するスクリーンショット。

  3. [ハードウェア] の一覧の [ネットワーク アダプター] ドロップダウン リストで、[高度な機能] を選択します。 [ポート ミラーリング] セクションで、新しい仮想インターフェイスのミラーリング モードとして [宛先] を選択します。

    ミラーリング モードの構成に必要な選択肢のスクリーンショット。

  4. [OK] を選択します。

PowerShell で Microsoft NDIS キャプチャ拡張機能を有効にする

前に作成した仮想スイッチに対する Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。

新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには、次のようにします

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Hyper-V マネージャーで Microsoft NDIS キャプチャ拡張機能を有効にする

前に作成した仮想スイッチに対する Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。

新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには、次のようにします

  1. Hyper-V ホストで仮想スイッチ マネージャーを開きます。

  2. [仮想スイッチ] の一覧で、仮想スイッチ名 [vSwitch_Span] を展開し、vSwitch_Span を選択します。

  3. [スイッチ拡張機能] フィールドで、 [Microsoft NDIS キャプチャ] を選択します。

    [スイッチ拡張機能] メニューから選択して、Microsoft NDIS を有効にするスクリーンショット。

  4. [OK] を選択します。

スイッチのミラーリング モードを構成する

前に作成した仮想スイッチのミラーリング モードを構成し、外部ポートをミラーリング ソースとして定義します。 これには、外部ソース ポートに到着するすべてのトラフィックを、宛先として構成した仮想ネットワーク アダプターに転送するように、Hyper-V 仮想スイッチ (vSwitch_Span) を構成する作業が含まれます。

仮想スイッチの外部ポートをソース ミラー モードとして設定するには、次を実行します。

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

各値の説明:

パラメーター 説明
vSwitch_Span 前に作成した仮想スイッチの名前
MonitorMode=2 source
MonitorMode=1 Destination
MonitorMode=0 なし

監視モードの状態を確認するには、次を実行します。

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
パラメーター 説明
vSwitch_Span 新しく追加された SPAN 仮想スイッチ名

モニター アダプターの VLAN 設定を構成する (必要な場合)

Hyper-V サーバーが、ミラーリングされたトラフィックの送信元の VLAN とは異なる VLAN にある場合は、ミラーリングされた VLAN からのトラフィックを受け入れるようにモニター アダプターを設定します。

モニター アダプターが異なる VLAN からの監視対象トラフィックを受け入れられるようにするには、次の PowerShell コマンドを使います。

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

ここで:

パラメーター 説明
VK-C1000V-LongRunning-650 CPPM VA 名
1010-1020 IoT トラフィックのミラーリング元の VLAN 範囲
"10" 環境のネイティブ VLAN ID

Set-VMNetworkAdapterVlan PowerShell コマンドレットについて詳しくはこちらをご覧ください。

トラフィック ミラーリングを検証する

トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。

サンプルの PCAP ファイルは、次の場合に役立ちます。

  • スイッチの構成を検証する
  • スイッチを通過するトラフィックが監視に関連していることを確認する
  • スイッチによって検出されたデバイスの帯域幅と推定数を特定する

  1. Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。

  2. 記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。

    ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。

  3. 分析されたトラフィックに OT プロトコルが存在することを確認します。

    次に例を示します。

    Wireshark 検証のスクリーンショット。

次のステップ