Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
W tym artykule opisano sposób używania trybu Promiscuous w środowisku przełącznika wirtualnego funkcji Hyper-V jako obejścia konfigurowania dublowania ruchu, podobnie jak port SPAN. Port SPAN na przełączniku dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku.
Aby uzyskać więcej informacji, zobacz Dublowanie ruchu za pomocą przełączników wirtualnych.
Wymagania wstępne
Przed rozpoczęciem:
Upewnij się, że rozumiesz plan monitorowania sieci za pomocą usługi Defender dla IoT i portów SPAN, które chcesz skonfigurować.
Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.
Upewnij się, że nie ma uruchomionego wystąpienia urządzenia wirtualnego.
Upewnij się, że włączono opcję Upewnij się, że funkcja SPAN jest włączona na porcie danych przełącznika wirtualnego, a nie na porcie zarządzania.
Upewnij się, że konfiguracja protokołu SPAN portu danych nie jest skonfigurowana przy użyciu adresu IP.
Konfigurowanie portu dublowania ruchu za pomocą funkcji Hyper-V
Otwórz Menedżera przełącznika wirtualnego.
Na liście Przełączniki wirtualne wybierz pozycję Nowy przełącznik>sieci wirtualnej Zewnętrzne jako dedykowany typ dedykowanej karty sieciowej.
Wybierz pozycję Utwórz przełącznik wirtualny.
W obszarze typ Połączenie ion wybierz pozycję Sieć zewnętrzna i upewnij się, że wybrano opcję Zezwalaj systemowi operacyjnemu zarządzania na udostępnianie tej karty sieciowej. Na przykład:
Wybierz przycisk OK.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego
Użyj programu Windows PowerShell lub Menedżera funkcji Hyper-V, aby dołączyć interfejs wirtualny SPAN do utworzonego wcześniej przełącznika wirtualnego.
Jeśli używasz programu PowerShell, zdefiniuj nazwę nowo dodanego sprzętu adaptera jako Monitor
. Jeśli używasz Menedżera funkcji Hyper-V, nazwa nowo dodanego sprzętu karty jest ustawiona na Network Adapter
.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą programu PowerShell
Wybierz nowo dodany przełącznik wirtualny SPAN, który został wcześniej skonfigurowany, i uruchom następujące polecenie, aby dodać nową kartę sieciową:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
Włącz dublowanie portów dla wybranego interfejsu jako miejsce docelowe span za pomocą następującego polecenia:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Gdzie:
Parametr Opis VK-C1000V-LongRunning-650 Nazwa VA CPPM vSwitch_Span Nowo dodana nazwa przełącznika wirtualnego SPAN Monitorowanie Nowo dodana nazwa karty Po zakończeniu wybierz OK.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą Menedżera funkcji Hyper-V
Na liście Sprzęt menedżera funkcji Hyper-V wybierz pozycję Karta sieciowa.
W polu Przełącznik wirtualny wybierz pozycję vSwitch_Span.
Na liście Sprzęt na liście rozwijanej Karta sieciowa wybierz pozycję Przyspieszanie sprzętowe i wyczyść opcję Kolejka maszyny wirtualnej dla interfejsu sieciowego monitorowania.
Na liście sprzętowej na liście rozwijanej Karta sieciowa wybierz pozycję Funkcje zaawansowane. W sekcji Dublowanie portów wybierz pozycję Miejsce docelowe jako tryb dublowania dla nowego interfejsu wirtualnego.
Wybierz przycisk OK.
Włączanie rozszerzeń przechwytywania NDIS firmy Microsoft
Włącz obsługę rozszerzeń przechwytywania NDIS firmy Microsoft dla utworzonego wcześniej przełącznika wirtualnego.
Aby włączyć rozszerzenia przechwytywania NDIS firmy Microsoft dla nowego przełącznika wirtualnego:
Otwórz Menedżera przełącznika wirtualnego na hoście funkcji Hyper-V.
Na liście Przełączniki wirtualne rozwiń nazwę
vSwitch_Span
przełącznika wirtualnego i wybierz pozycję Rozszerzenia.W polu Przełącz rozszerzenia wybierz pozycję Microsoft NDIS Capture.
Wybierz przycisk OK.
Konfigurowanie trybu dublowania przełącznika
Skonfiguruj tryb dublowania na utworzonym wcześniej przełączniku wirtualnym, aby port zewnętrzny był zdefiniowany jako źródło dublowania. Obejmuje to skonfigurowanie przełącznika wirtualnego funkcji Hyper-V (vSwitch_Span) w celu przekazywania dowolnego ruchu przychodzącego do zewnętrznego portu źródłowego do wirtualnej karty sieciowej skonfigurowanej jako miejsce docelowe.
Aby ustawić zewnętrzny port przełącznika wirtualnego jako tryb dublowania źródłowego, uruchom polecenie:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Gdzie:
Parametr | Opis |
---|---|
vSwitch_Span | Nazwa utworzonego wcześniej przełącznika wirtualnego |
MonitorMode=2 | Źródło |
MonitorMode=1 | Element docelowy |
MonitorMode=0 | Brak |
Aby sprawdzić stan trybu monitorowania, uruchom polecenie:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametr | Opis |
---|---|
vSwitch_Span | Nowo dodana nazwa przełącznika wirtualnego SPAN |
Weryfikowanie dublowania ruchu
Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.
Przykładowy plik PCAP pomoże Ci:
- Weryfikowanie konfiguracji przełącznika
- Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
- Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik
Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.
Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.
Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.
Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.
Na przykład: