Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。
この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、Hyper-V Vswitch 環境で "無作為検出モード" を使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。
詳細については、「仮想スイッチを使用したトラフィック ミラーリング」に関するページを参照してください。
開始する前に次の操作を実行してください。
Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。
仮想アプライアンスのインスタンスが実行されていないことを確認します。
有効にしたのが管理ポートではなく、仮想スイッチのデータ ポート上の SPAN であることを確認します。
データ ポートの SPAN 構成が IP アドレスを使用して構成されていないことを確認します。
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
ここで:
パラメーター | 説明 |
---|---|
vSwitch_Span | 新しく追加された SPAN 仮想スイッチ名 |
イーサネット | 物理アダプターの名前 |
方法については、「Hyper-V を使用して仮想スイッチを作成して構成する」をご覧ください。
仮想スイッチ マネージャーを開きます。
[仮想スイッチ] の一覧で、専用のスパン ネットワーク アダプターの種類として [新しい仮想ネットワーク スイッチ]>[外付け] の順に選択します。
[仮想スイッチの作成] を選択します。
[接続の種類] 領域で、[外部ネットワーク] を選択し、[管理オペレーティング システムによるこのネットワーク アダプターの共有を許可する] オプションが選択されていることを確認します。 次に例を示します。
[OK] を選択します。
Windows PowerShell または Hyper-V マネージャーを使って、前に作成した仮想スイッチに SPAN 仮想インターフェイスをアタッチします。
PowerShell を使用する場合は、新しく追加されたアダプター ハードウェアの名前を Monitor
として定義します。 Hyper-V マネージャーを使用する場合は、新しく追加されたアダプター ハードウェアの名前が Network Adapter
に設定されます。
前に作成して新しく追加した SPAN 仮想スイッチを選び、次のコマンドを実行して新しいネットワーク アダプターを追加します。
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
次のコマンドを使用して、選択したインターフェイスで、スパン先としてポート ミラーリングを有効にします。
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
各値の説明:
パラメーター 説明 VK-C1000V-LongRunning-650 CPPM VA 名 vSwitch_Span 新しく追加された SPAN 仮想スイッチ名 監視 新しく追加されたアダプター名 終了したら、 [OK] を選択します。
Hyper-V マネージャーの [ハードウェア] の一覧で、[ネットワーク アダプター] を選択します。
[仮想スイッチ] フィールドで、[vSwitch_Span] を選択します。
[ハードウェア] の一覧の [ネットワーク アダプター] ドロップダウン リストで、[高度な機能] を選択します。 [ポート ミラーリング] セクションで、新しい仮想インターフェイスのミラーリング モードとして [宛先] を選択します。
[OK] を選択します。
前に作成した仮想スイッチに対する Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。
新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには、次のようにします。
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
前に作成した仮想スイッチに対する Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。
新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには、次のようにします。
Hyper-V ホストで仮想スイッチ マネージャーを開きます。
[仮想スイッチ] の一覧で、仮想スイッチ名 [
vSwitch_Span
] を展開し、vSwitch_Span
を選択します。[スイッチ拡張機能] フィールドで、 [Microsoft NDIS キャプチャ] を選択します。
[OK] を選択します。
前に作成した仮想スイッチのミラーリング モードを構成し、外部ポートをミラーリング ソースとして定義します。 これには、外部ソース ポートに到着するすべてのトラフィックを、宛先として構成した仮想ネットワーク アダプターに転送するように、Hyper-V 仮想スイッチ (vSwitch_Span) を構成する作業が含まれます。
仮想スイッチの外部ポートをソース ミラー モードとして設定するには、次を実行します。
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
各値の説明:
パラメーター | 説明 |
---|---|
vSwitch_Span | 前に作成した仮想スイッチの名前 |
MonitorMode=2 | source |
MonitorMode=1 | Destination |
MonitorMode=0 | なし |
監視モードの状態を確認するには、次を実行します。
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
パラメーター | 説明 |
---|---|
vSwitch_Span | 新しく追加された SPAN 仮想スイッチ名 |
Hyper-V サーバーが、ミラーリングされたトラフィックの送信元の VLAN とは異なる VLAN にある場合は、ミラーリングされた VLAN からのトラフィックを受け入れるようにモニター アダプターを設定します。
モニター アダプターが異なる VLAN からの監視対象トラフィックを受け入れられるようにするには、次の PowerShell コマンドを使います。
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
ここで:
パラメーター | 説明 |
---|---|
VK-C1000V-LongRunning-650 | CPPM VA 名 |
1010-1020 | IoT トラフィックのミラーリング元の VLAN 範囲 |
"10" | 環境のネイティブ VLAN ID |
Set-VMNetworkAdapterVlan PowerShell コマンドレットについて詳しくはこちらをご覧ください。
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。