Verkeersspiegeling configureren met een RSPAN-poort (Remote SPAN)

Dit artikel is een in een reeks artikelen waarin het implementatiepad voor OT-bewaking met Microsoft Defender voor IoT wordt beschreven.

In dit artikel wordt een voorbeeldprocedure beschreven voor het configureren van RSPAN op een Cisco 2960-switch met 24 poorten met IOS.

Belangrijk

Dit artikel is alleen bedoeld als richtlijn en niet als instructies. Spiegelpoorten op andere Cisco-besturingssystemen en andere switchmerken worden anders geconfigureerd. Zie uw switchdocumentatie voor meer informatie.

Vereisten

• Voordat u begint, moet u ervoor zorgen dat u begrijpt wat uw plan is voor netwerkbewaking met Defender for IoT en de SPAN-poorten die u wilt configureren.

  Zie Verkeersspiegelingsmethoden voor OT-bewaking voor meer informatie.

• RSPAN vereist een specifiek VLAN om het bewaakte SPAN-verkeer tussen switches te vervoeren. Voordat u begint, moet u ervoor zorgen dat uw switch RSPAN ondersteunt.

• Zorg ervoor dat de spiegelingsoptie op uw schakelaar is uitgeschakeld.

• Zorg ervoor dat het externe VLAN is toegestaan op de trunk-poort tussen de bron- en doelswitches.

• Zorg ervoor dat alle switches die verbinding maken met dezelfde RSPAN-sessie afkomstig zijn van dezelfde leverancier.

• Zorg ervoor dat de trunkpoort die hetzelfde externe VLAN tussen switches deelt, nog niet is gedefinieerd als een poort voor de mirrorsessiebron.

• Het externe VLAN verhoogt de bandbreedte op de trunked-poort door de hoeveelheid verkeer dat wordt gespiegeld vanuit de bronsessie. Zorg ervoor dat de trunkpoort van uw switch ondersteuning biedt voor de verhoogde bandbreedte.

Let op

Een verhoogde bandbreedte, ongeacht of deze te wijten is aan grote hoeveelheden doorvoer of een groot aantal switches, kan ertoe leiden dat een switch mislukt en daardoor het hele netwerk uitvalt. Wanneer u verkeerspiegeling configureert met RSPAN, moet u rekening houden met het volgende:

• Het aantal toegangs-/distributieswitches dat u configureert met RSPAN.
• De correlerende doorvoer voor het externe VLAN op elke switch.

De bronswitch configureren

Op de bronswitch:

1. Voer de modus in global configuration en maak een nieuw, toegewezen VLAN.

2. Identificeer uw nieuwe VLAN als het RSPAN VLAN en ga vervolgens terug naar configure terminal de modus.

3. Configureer alle 24 poorten als sessiebronnen.

4. Configureer het RSPAN VLAN als de sessiebestemming.

5. Ga terug naar de bevoegde EXEC modus en controleer de configuratie van poortspiegeling.

De doelswitch configureren

Op uw bestemmingsswitch:

1. Voer de modus in global configuration en configureer het RSPAN VLAN als de sessiebron.

2. Configureer fysieke poort 24 als de sessiebestemming.

3. Ga terug naar de bevoegde EXEC modus en controleer de configuratie van poortspiegeling.

4. Sla de configuratie op.

Verkeerspiegeling valideren

Nadat u verkeerspiegeling hebt geconfigureerd, probeert u een voorbeeld van opgenomen verkeer (PCAP-bestand) te ontvangen van de switch SPAN- of mirrorpoort.

Een voorbeeld van een PCAP-bestand helpt u bij het volgende:

• De switchconfiguratie valideren
• Controleer of het verkeer dat via uw switch gaat relevant is voor bewaking
• De bandbreedte en het geschatte aantal apparaten identificeren dat door de switch is gedetecteerd

1. Gebruik een network protocol analyzer-toepassing, zoals Wireshark, om een paar minuten een PCAP-voorbeeldbestand op te nemen. Sluit bijvoorbeeld een laptop aan op een poort waar u verkeerscontrole hebt geconfigureerd.

2. Controleer of Unicast-pakketten aanwezig zijn in het opnameverkeer. Unicast-verkeer is verkeer dat van adres naar een ander wordt verzonden.

   Als het grootste deel van het verkeer ARP-berichten is, is uw configuratie voor verkeersspiegeling niet juist.

3. Controleer of uw OT-protocollen aanwezig zijn in het geanalyseerde verkeer.

   Voorbeeld:

   

Volgende stappen

« OT-sensoren onboarden bij Defender for IoT

OT-sensoren inrichten voor cloudbeheer »