Udostępnij za pośrednictwem

Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V

  • Artykuł

Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.

Diagram of a progress bar with Network level deployment highlighted.

W tym artykule opisano sposób używania trybu Promiscuous w środowisku przełącznika wirtualnego funkcji Hyper-V jako obejścia konfigurowania dublowania ruchu, podobnie jak port SPAN. Port SPAN na przełączniku dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku.

Aby uzyskać więcej informacji, zobacz Dublowanie ruchu za pomocą przełączników wirtualnych.

Wymagania wstępne

Przed rozpoczęciem:

  • Upewnij się, że rozumiesz plan monitorowania sieci za pomocą usługi Defender dla IoT i portów SPAN, które chcesz skonfigurować.

    Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.

  • Upewnij się, że nie ma uruchomionego wystąpienia urządzenia wirtualnego.

  • Upewnij się, że włączono opcję Upewnij się, że funkcja SPAN jest włączona na porcie danych przełącznika wirtualnego, a nie na porcie zarządzania.

  • Upewnij się, że konfiguracja protokołu SPAN portu danych nie jest skonfigurowana przy użyciu adresu IP.

Konfigurowanie portu dublowania ruchu za pomocą funkcji Hyper-V

  1. Otwórz Menedżera przełącznika wirtualnego.

  2. Na liście Przełączniki wirtualne wybierz pozycję Nowy przełącznik>sieci wirtualnej Zewnętrzne jako dedykowany typ dedykowanej karty sieciowej.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Wybierz pozycję Utwórz przełącznik wirtualny.

  4. W obszarze typ Połączenie ion wybierz pozycję Sieć zewnętrzna i upewnij się, że wybrano opcję Zezwalaj systemowi operacyjnemu zarządzania na udostępnianie tej karty sieciowej. Na przykład:

    Screenshot of the External network option.

  5. Wybierz przycisk OK.

Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego

Użyj programu Windows PowerShell lub Menedżera funkcji Hyper-V, aby dołączyć interfejs wirtualny SPAN do utworzonego wcześniej przełącznika wirtualnego.

Jeśli używasz programu PowerShell, zdefiniuj nazwę nowo dodanego sprzętu adaptera jako Monitor. Jeśli używasz Menedżera funkcji Hyper-V, nazwa nowo dodanego sprzętu karty jest ustawiona na Network Adapter.

Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą programu PowerShell

  1. Wybierz nowo dodany przełącznik wirtualny SPAN, który został wcześniej skonfigurowany, i uruchom następujące polecenie, aby dodać nową kartę sieciową:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Włącz dublowanie portów dla wybranego interfejsu jako miejsce docelowe span za pomocą następującego polecenia:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Gdzie:

    Parametr Opis
    VK-C1000V-LongRunning-650 Nazwa VA CPPM
    vSwitch_Span Nowo dodana nazwa przełącznika wirtualnego SPAN
    Monitorowanie Nowo dodana nazwa karty

  3. Po zakończeniu wybierz OK.

Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą Menedżera funkcji Hyper-V

  1. Na liście Sprzęt menedżera funkcji Hyper-V wybierz pozycję Karta sieciowa.

  2. W polu Przełącznik wirtualny wybierz pozycję vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Na liście Sprzęt na liście rozwijanej Karta sieciowa wybierz pozycję Przyspieszanie sprzętowe i wyczyść opcję Kolejka maszyny wirtualnej dla interfejsu sieciowego monitorowania.

  4. Na liście sprzętowej na liście rozwijanej Karta sieciowa wybierz pozycję Funkcje zaawansowane. W sekcji Dublowanie portów wybierz pozycję Miejsce docelowe jako tryb dublowania dla nowego interfejsu wirtualnego.

    Screenshot of the selections needed to configure mirroring mode.

  5. Wybierz przycisk OK.

Włączanie rozszerzeń przechwytywania NDIS firmy Microsoft

Włącz obsługę rozszerzeń przechwytywania NDIS firmy Microsoft dla utworzonego wcześniej przełącznika wirtualnego.

Aby włączyć rozszerzenia przechwytywania NDIS firmy Microsoft dla nowego przełącznika wirtualnego:

  1. Otwórz Menedżera przełącznika wirtualnego na hoście funkcji Hyper-V.

  2. Na liście Przełączniki wirtualne rozwiń nazwę vSwitch_Span przełącznika wirtualnego i wybierz pozycję Rozszerzenia.

  3. W polu Przełącz rozszerzenia wybierz pozycję Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Wybierz przycisk OK.

Konfigurowanie trybu dublowania przełącznika

Skonfiguruj tryb dublowania na utworzonym wcześniej przełączniku wirtualnym, aby port zewnętrzny był zdefiniowany jako źródło dublowania. Obejmuje to skonfigurowanie przełącznika wirtualnego funkcji Hyper-V (vSwitch_Span) w celu przekazywania dowolnego ruchu przychodzącego do zewnętrznego portu źródłowego do wirtualnej karty sieciowej skonfigurowanej jako miejsce docelowe.

Aby ustawić zewnętrzny port przełącznika wirtualnego jako tryb dublowania źródłowego, uruchom polecenie:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Gdzie:

Parametr Opis
vSwitch_Span Nazwa utworzonego wcześniej przełącznika wirtualnego
MonitorMode=2 Źródło
MonitorMode=1 Element docelowy
MonitorMode=0 Brak

Aby sprawdzić stan trybu monitorowania, uruchom polecenie:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametr Opis
vSwitch_Span Nowo dodana nazwa przełącznika wirtualnego SPAN

Weryfikowanie dublowania ruchu

Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.

Przykładowy plik PCAP pomoże Ci:

  • Weryfikowanie konfiguracji przełącznika
  • Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
  • Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik

  1. Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.

  2. Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.

    Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.

  3. Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.

    Na przykład:

    Screenshot of Wireshark validation.

Następne kroki

« Dołączanie czujników OT do usługi Defender dla IoT

Aprowizuj czujniki OT do zarządzania chmurą »