次の方法で共有


Hyper-V vSwitch を使用してトラフィック ミラーリングを構成する

この記事は、Microsoft Defender for IoT を使用した OT 監視の 展開パス について説明する一連の記事の 1 つです。

ネットワーク レベルの展開が強調表示されている進行状況バーの図。

この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、Hyper-V Vswitch 環境で Promiscuous モードを使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。

詳細については、「 仮想スイッチを使用したトラフィック ミラーリング」を参照してください。

前提条件

開始する前に次の操作を実行してください。

  • Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。

    詳細については、 OT 監視のためのトラフィック ミラーリング方法を参照してください。

  • 仮想アプライアンスのインスタンスが実行されていないことを確認します。

  • 管理ポートではなく、仮想スイッチのデータ ポートで SPAN を有効にしていることを確認します。

  • データ ポートの SPAN 構成が IP アドレスを使用して構成されていないことを確認します。

ミラーリングされたトラフィックを VM にリレーする新しい Hyper-V 仮想スイッチを作成する

PowerShell で新しい仮想スイッチを作成する

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

ここで:

パラメーター 説明
vSwitch_Span 新しく追加された SPAN 仮想スイッチ名
イーサネット 物理アダプターの名前

Hyper-V を使用して仮想スイッチを作成して構成する方法について説明します

Hyper-V マネージャーで新しい仮想スイッチを作成する

  1. 仮想スイッチ マネージャーを開きます。

  2. 仮想スイッチのリストで、新しい仮想ネットワークスイッチ>を選択し、専用のスパンネットワークアダプターの種類としてExternalを選択してください。

    仮想スイッチを作成する前に新しい仮想ネットワークと外部を選択するスクリーンショット。

  3. [ 仮想スイッチの作成] を選択します。

  4. [ 接続の種類 ] 領域で、[ 外部ネットワーク ] を選択し、[ このネットワーク アダプターの共有を管理オペレーティング システムに許可する ] オプションが選択されていることを確認します。 次に例を示します。

    [外部ネットワーク] オプションのスクリーンショット。

  5. [ OK] を選択します

SPAN 仮想インターフェイスを仮想スイッチに接続する

Windows PowerShell または Hyper-V Manager を使用して、 前に作成した仮想スイッチに SPAN 仮想インターフェイスを接続します。

PowerShell を使用する場合は、新しく追加されたアダプター ハードウェアの名前を Monitor として定義します。 Hyper-V マネージャーを使用する場合は、新しく追加されたアダプター ハードウェアの名前が Network Adapter に設定されます。

PowerShell を使用して SPAN 仮想インターフェイスを仮想スイッチに接続する

  1. 前に作成した新しく追加した SPAN 仮想スイッチを選択し、次のコマンドを実行して新しいネットワーク アダプターを追加します。

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. 次のコマンドを使用して、選択したインターフェイスで、スパン先としてポート ミラーリングを有効にします。

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    ここで:

    パラメーター 説明
    VK-C1000V-ロングランニング-650 CPPM VA 名
    vSwitch_Span 新しく追加された SPAN 仮想スイッチ名
    モニター 新しく追加されたアダプター名
  3. 完了したら、[ OK] を選択します

Hyper-V マネージャーを使用して SPAN 仮想インターフェイスを仮想スイッチに接続する

  1. Hyper-V マネージャーの ハードウェア の一覧で、[ ネットワーク アダプター] を選択します。

  2. [ 仮想スイッチ ] フィールドで、 vSwitch_Spanを選択します。

    仮想スイッチ画面で次のオプションを選択するスクリーンショット。

  3. [ハードウェア] ボックスの一覧の [ネットワーク アダプター] ドロップダウン リストで、[高度な機能] を選択します。 [ ポート ミラーリング ] セクションで、新しい仮想インターフェイスのミラーリング モードとして [宛先 ] を選択します。

    ミラーリング モードを構成するために必要な選択のスクリーンショット。

  4. [ OK] を選択します

PowerShell で Microsoft NDIS キャプチャ拡張機能を有効にする

前に作成した仮想スイッチの Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。

新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Hyper-V マネージャーで Microsoft NDIS キャプチャ拡張機能を有効にする

前に作成した仮想スイッチの Microsoft NDIS キャプチャ拡張機能のサポートを有効にします。

新しい仮想スイッチの Microsoft NDIS キャプチャ拡張機能を有効にするには:

  1. Hyper-V ホストで仮想スイッチ マネージャーを開きます。

  2. [仮想スイッチ] の一覧で、仮想スイッチ名 [vSwitch_Span] を展開し、vSwitch_Span を選択します。

  3. [拡張機能の切り替え] フィールド で、[Microsoft NDIS キャプチャ] を選択します。

    [スイッチ拡張機能] メニューから Microsoft NDIS を選択して有効にするスクリーンショット。

  4. [ OK] を選択します

スイッチのミラーリング モードを構成する

外部ポートがミラーリング ソースとして定義されるように、 前に作成 した仮想スイッチでミラーリング モードを構成します。 これには、外部ソース ポートに到着するすべてのトラフィックを、宛先として構成した仮想ネットワーク アダプターに転送するように、Hyper-V 仮想スイッチ (vSwitch_Span) を構成する作業が含まれます。

仮想スイッチの外部ポートをソース ミラー モードとして設定するには、次を実行します。

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

ここで:

パラメーター 説明
vSwitch_Span 前に作成した仮想スイッチの名前
モニターモード=2 source
モニターモード=1 行き先
モニターモード = 0 なし

監視モードの状態を確認するには、次を実行します。

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
パラメーター 説明
vSwitch_Span 新しく追加された SPAN 仮想スイッチ名

モニター アダプターの VLAN 設定を構成する (必要な場合)

ミラー化されたトラフィックに VLAN タグが付けられている場合は、ミラー化された VLAN からのトラフィックを受け入れるように VM のモニター アダプターを構成します。

次の PowerShell コマンドを使用して、VM のモニター アダプターが異なる VLAN からの監視対象トラフィックを受け入れるようにします。

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

ここで:

パラメーター 説明
VK-C1000V-ロングランニング-650 CPPM VA 名
1010-1020 IoT トラフィックのミラーリング元の VLAN 範囲
"10" 環境のネイティブ VLAN ID

Set-VMNetworkAdapterVlan PowerShell コマンドレットの詳細を確認します。

トラフィック ミラーリングを検証する

トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。

サンプルの PCAP ファイルは、次の場合に役立ちます。

  • スイッチの構成を検証する
  • スイッチを通過するトラフィックが監視に関連していることを確認する
  • スイッチによって検出されたデバイスの帯域幅と推定数を特定する
  1. Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。

  2. ユニキャスト パケットが記録トラフィックに存在することを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。

    ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。

  3. 分析されたトラフィックに OT プロトコルが存在することを確認します。

    次に例を示します。

    Wireshark 検証のスクリーンショット。

次のステップ