Configurar o espelhamento de tráfego com uma porta SPAN Remota (RSPAN)
Este artigo faz parte de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender para IoT.
Este artigo descreve um procedimento de exemplo para configurar a RSPAN em um comutador Cisco 2960 com 24 portas executando o IOS.
Importante
Este artigo destina-se apenas a dar orientações e não instruções. As portas espelhadas de outros sistemas operacionais da Cisco e outras marcas de comutadores são configuradas de maneira diferente. Para obter mais informações, confira a documentação do comutador.
Pré-requisitos
Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender para IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
A RSPAN requer uma VLAN específica para carregar o tráfego SPAN monitorado entre os comutadores. Antes de começar, verifique se o comutador dá suporte à RSPAN.
Verifique se a opção de espelhamento no comutador está desativada.
Verifique se a VLAN remota tem permissão na porta de tronco entre os comutadores de origem e de destino.
Verifique se todos os comutadores que se conectam à mesma sessão RSPAN são do mesmo fornecedor.
Verifique se a porta de tronco que está compartilhando a mesma VLAN remota entre os comutadores já foi definida como porta de origem da sessão espelhada.
A VLAN remota aumenta a largura de banda na porta com tronco pela quantidade de tráfego que está sendo espelhada da sessão de origem. Verifique se a porta do tronco do comutador pode dar suporte à largura de banda maior.
Cuidado
Um aumento da largura de banda, seja devido a grandes quantidades de taxa de transferência ou a um grande número de comutadores, pode fazer com que uma opção falhe e, portanto, derrube toda a rede. Ao configurar o espelhamento de tráfego com RSPAN, considere o seguinte:
- O número de opções de acesso/distribuição configurados com RSPAN.
- A taxa de transferência correlacionada para a VLAN remota em cada comutador.
Configurar o comutador de origem
No comutador de origem:
Insira o modo
global configuratione crie uma VLAN nova e dedicada.Identifique sua nova VLAN como a VLAN RSPAN e retorne ao modo
configure terminal.Configure todas as 24 portas como origens da sessão.
Configure a VLAN de RSPAN para ser o destino da sessão.
Retorne ao modo privilegiado
EXECe verifique a configuração de espelhamento de porta.
Configurar o comutador de destino
No comutador de destino:
Insira o modo
global configuratione configure a VLAN da RSPAN para ser a origem da sessão.Configure a porta física 24 para ser o destino da sessão.
Retorne ao modo privilegiado
EXECe verifique a configuração de espelhamento de porta.Salve a configuração.
Validar o espelhamento de tráfego
Após configurar o espelhamento de tráfego, tente receber um exemplo de tráfego gravado (arquivo PCAP) do comutador SPAN ou da porta de espelhamento.
Uma amostra de arquivo PCAP ajudará você a:
- Validar a configuração de comutador
- Confirmar se o tráfego que passa pelo comutador é relevante para o monitoramento
- Identificar a largura de banda e um número estimado de dispositivos detectados pelo comutador
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para registrar um arquivo PCAP de exemplo por alguns minutos. Por exemplo, conecte um laptop a uma porta em que você configurou o monitoramento de tráfego.
Verifique se os pacotes unicast estão presentes no tráfego de gravação. O tráfego Unicast é o tráfego enviado do endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, a configuração de espelhamento de tráfego não estará correta.
Verifique se os protocolos de OT estão presentes no tráfego analisado.
Por exemplo:
