Verkeersspiegeling configureren met een ESXi vSwitch

  • Artikel

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Diagram of a progress bar with Network level deployment highlighted.

In dit artikel wordt beschreven hoe u de Promiscuous-modus gebruikt in een ESXi vSwitch-omgeving als tijdelijke oplossing voor het configureren van verkeerspiegeling, vergelijkbaar met een SPAN-poort. Een SPAN-poort op uw switch spiegelt lokaal verkeer van interfaces op de switch naar een andere interface op dezelfde switch.

Zie Verkeer spiegelen met virtuele switches voor meer informatie.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u begrijpt wat uw plan is voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.

Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.

Een bewakingsinterface configureren met de Promiscuous-modus

Een bewakingsinterface configureren met de Promiscuous-modus op een ESXi v-Switch:

  1. Open de eigenschappenpagina van vSwitch en selecteer Standaard virtuele switch toevoegen.

  2. Voer SPAN Network in als het netwerklabel.

  3. Voer in het veld MTU 4096 in.

  4. Selecteer Beveiliging en controleer of het promiscuous Mode-beleid is ingesteld op de modus Accepteren .

  5. Selecteer Toevoegen om de vSwitch-eigenschappen te sluiten.

  6. Markeer de vSwitch die u zojuist hebt gemaakt en selecteer Uplink toevoegen.

  7. Selecteer de fysieke NIC die u wilt gebruiken voor het SPAN-verkeer, wijzig de MTU in 4096 en selecteer Vervolgens Opslaan.

  8. Open de eigenschappenpagina Poortgroep en selecteer Poortgroep toevoegen.

  9. Voer spanpoortgroep in als de naam, voer 4095 in als de VLAN-id en selecteer SPAN-netwerk in de vSwitch-vSwitch-vervolgkeuzelijst en selecteer vervolgens Toevoegen.

  10. Open de eigenschappen van de OT Sensor-VM .

  11. Selecteer voor Netwerkadapter 2 het SPAN-netwerk .

  12. Selecteer OK.

  13. Verbinding maken naar de sensor en controleer of spiegeling werkt.

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

  • De switchconfiguratie valideren
  • Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
  • De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

  1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

  2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

    Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

  3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

    Voorbeeld:

    Screenshot of Wireshark validation.

Volgende stappen

« OT-sensoren onboarden bij Defender for IoT

OT-sensoren inrichten voor cloudbeheer »