Verkeersspiegeling configureren met een ingekapselde remote switched port analyzer (ERSPAN)

  • Artikel

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Diagram of a progress bar with Network level deployment highlighted.

Dit artikel bevat richtlijnen op hoog niveau voor het configureren van verkeersspiegeling met ERSPAN. Specifieke implementatiedetails variëren, afhankelijk van de leverancier van uw apparatuur.

U wordt aangeraden uw ontvangende router te gebruiken als de algemene routeringstunnelbestemming (GRE).

Vereisten

Voordat u begint, moet u ervoor zorgen dat u begrijpt wat uw plan is voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.

Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.

Voorbeeldconfiguratie op een Cisco-switch

De volgende code toont een voorbeelduitvoer ifconfig voor ERSPAN die is geconfigureerd op een Cisco-switch:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Zie de CLI-opdrachtreferentie van OT-netwerksensoren voor meer informatie.

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

  • De switchconfiguratie valideren
  • Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
  • De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

  1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

  2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

    Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

  3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

    Voorbeeld:

    Screenshot of Wireshark validation.

ERSPAN configureren op uw OT-netwerksensor

Nadat u de sensor hebt geïmplementeerd, moet u ERSPAN-instellingen configureren op de pagina Interfaceconfiguraties . Zie voor meer informatie:

Voorbeeld:

Screenshot of how to configure ERSPAN settings in the OT sensor settings.

Volgende stappen

« OT-sensoren onboarden bij Defender for IoT

OT-sensoren inrichten voor cloudbeheer »