Verkeerspiegeling configureren met een Hyper-V vSwitch

  • Artikel

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

Diagram of a progress bar with Network level deployment highlighted.

In dit artikel wordt beschreven hoe u de Promiscuous-modus gebruikt in een Hyper-V-VSwitch-omgeving als tijdelijke oplossing voor het configureren van verkeerspiegeling, vergelijkbaar met een SPAN-poort. Een SPAN-poort op uw switch spiegelt lokaal verkeer van interfaces op de switch naar een andere interface op dezelfde switch.

Zie Verkeer spiegelen met virtuele switches voor meer informatie.

Vereisten

Voordat u begint:

  • Zorg ervoor dat u inzicht hebt in uw plan voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.

    Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.

  • Zorg ervoor dat er geen exemplaar van een virtueel apparaat wordt uitgevoerd.

  • Zorg ervoor dat u Span controleren hebt ingeschakeld op de gegevenspoort van uw virtuele switch en niet op de beheerpoort.

  • Zorg ervoor dat de SPAN-configuratie van de gegevenspoort niet is geconfigureerd met een IP-adres.

Een poort voor verkeerspiegeling configureren met Hyper-V

  1. Open the Virtual Switch Manager.

  2. Selecteer in de lijst met virtuele switches de optie Nieuwe virtuele netwerkswitch>Extern als het toegewezen type netwerkadapter voor spanned.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Selecteer virtuele Switch maken.

  4. Selecteer extern netwerk in het gebied Verbinding maken iontype en zorg ervoor dat de optie Beheerbesturingssysteem toestaan om deze netwerkadapter te delen is geselecteerd. Voorbeeld:

    Screenshot of the External network option.

  5. Selecteer OK.

Een virtuele SPAN-interface koppelen aan de virtuele switch

Gebruik Windows PowerShell of Hyper-V Manager om een virtuele SPAN-interface te koppelen aan de virtuele switch die u eerder hebt gemaakt.

Als u PowerShell gebruikt, definieert u de naam van de zojuist toegevoegde adapterhardware als Monitor. Als u Hyper-V-beheer gebruikt, wordt de naam van de zojuist toegevoegde adapterhardware ingesteld op Network Adapter.

Een virtuele SPAN-interface koppelen aan de virtuele switch met PowerShell

  1. Selecteer de zojuist toegevoegde virtuele SPAN-switch die u eerder hebt geconfigureerd en voer de volgende opdracht uit om een nieuwe netwerkadapter toe te voegen:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Schakel poortspiegeling in voor de geselecteerde interface als de bereikbestemming met de volgende opdracht:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Hierin:

    Parameter Description
    VK-C1000V-LongRunning-650 CPPM VA-naam
    vSwitch_Span Naam van virtuele SPAN-switch toegevoegd
    Controle Zojuist toegevoegde adapternaam

  3. Als u gereed bent, selecteert u OK.

Een virtuele SPAN-interface koppelen aan de virtuele switch met Hyper-V-beheer

  1. Selecteer netwerkadapter onder de hardwarelijst van Hyper-V-beheer.

  2. Selecteer vSwitch_Span in het veld Virtuele switch.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Selecteer hardwareversnelling in de vervolgkeuzelijst Hardwareversnelling in de lijst Hardwareadapter en schakel de optie Wachtrij voor virtuele machines voor de netwerkinterface voor bewaking uit.

  4. Selecteer Geavanceerde functies in de lijst Hardware, onder de vervolgkeuzelijst Netwerkadapter. Selecteer In de sectie Poortspiegeling de optie Bestemming als de spiegelingsmodus voor de nieuwe virtuele interface.

    Screenshot of the selections needed to configure mirroring mode.

  5. Selecteer OK.

Microsoft NDIS capture-extensies inschakelen

Schakel ondersteuning in voor Microsoft NDIS Capture Extensions voor de virtuele switch die u eerder hebt gemaakt.

Microsoft NDIS capture-extensies inschakelen voor uw nieuwe virtuele switch:

  1. Open Virtual Switch Manager op de Hyper-V-host.

  2. Vouw in de lijst Virtuele switches de naam vSwitch_Span van de virtuele switch uit en selecteer Extensies.

  3. Selecteer Microsoft NDIS Capture in het veld Switch Extensions.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Selecteer OK.

De spiegelingsmodus van de switch configureren

Configureer de spiegelingsmodus op de virtuele switch die u eerder hebt gemaakt, zodat de externe poort wordt gedefinieerd als de bron voor spiegeling. Dit omvat het configureren van de virtuele Hyper-V-switch (vSwitch_Span) om verkeer dat naar de externe bronpoort wordt geleverd door te sturen naar een virtuele netwerkadapter die is geconfigureerd als de bestemming.

Als u de externe poort van de virtuele switch wilt instellen als de bronspiegelmodus, voert u het volgende uit:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Hierin:

Parameter Description
vSwitch_Span Naam van de virtuele switch die u eerder hebt gemaakt
MonitorMode=2 Bron
MonitorMode=1 Doel
MonitorMode=0 Geen

Voer de volgende opdracht uit om de status van de bewakingsmodus te controleren:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter Description
vSwitch_Span Naam van virtuele SPAN-switch toegevoegd

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

  • De switchconfiguratie valideren
  • Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
  • De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

  1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

  2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

    Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

  3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

    Voorbeeld:

    Screenshot of Wireshark validation.

Volgende stappen

« OT-sensoren onboarden bij Defender for IoT

OT-sensoren inrichten voor cloudbeheer »