Configurar o espelhamento de tráfego com um ESXi vSwitch

  • Artigo

Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.

Diagrama de uma barra de progresso com a implantação em nível de rede realçada.

Este artigo descreve como usar o Modo promíscuo em um ambiente ESXi vSwitch como uma solução alternativa para configurar o espelhamento de tráfego, semelhante a uma porta SPAN. Uma porta SPAN em seu comutador espelha o tráfego local das interfaces no comutador para uma interface diferente no mesmo comutador.

Para obter mais informações, consulte Espelhamento de tráfego com comutadores virtuais.

Pré-requisitos

Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender para IoT e as portas SPAN que deseja configurar.

Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.

Configurar uma interface de monitoramento usando o modo Promíscuo

Para configurar uma interface de monitoramento com o modo Promíscuo em um ESXi v-Switch:

  1. Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.

  2. Insira a Rede SPAN como o rótulo de rede.

  3. No campo MTU, insira 4096.

  4. Selecione Segurança e verifique se a política do Modo Promíscuo está definida como modo Aceitar.

  5. Selecione Adicionar para fechar as propriedades do vSwitch.

  6. Realce o vSwitch que você acabou de criar e selecione Adicionar uplink.

  7. Selecione a NIC física que você usará para o tráfego SPAN, altere a MTU para 4096 e selecione Salvar.

  8. Abra a página propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.

  9. Insira Grupo de Portas SPAN como o nome, insira 4095 como a ID da VLAN e selecione Rede SPAN na lista suspensa vSwitch e, em seguida, selecione Adicionar.

  10. Abra as propriedades da VM do Sensor de OT.

  11. Para o Adaptador de Rede 2, selecione a rede SPAN.

  12. Selecione OK.

  13. Conecte-se ao sensor e verifique se o espelhamento funciona.

Validar o espelhamento de tráfego

Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.

Um exemplo de arquivo PCAP ajudará você a:

  • Validar a configuração de comutador
  • Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
  • Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador

  1. Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.

  2. Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.

    Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.

  3. Verifique se os protocolos de OT estão presentes no tráfego analisado.

    Por exemplo:

    Captura de tela da validação do Wireshark.

Próximas etapas

« Integrar sensores de OT ao Defender para IoT

Provisionar sensores de OT para gerenciamento de nuvem »