Настройка зеркало трафика с помощью порта Remote SPAN (RSPAN)
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
В этой статье описывается пример процедуры настройки RSPAN на коммутаторе Cisco 2960 с 24 портами под управлением IOS.
Важно!
Эта статья предназначена только в качестве руководства и не в качестве инструкций. Зеркальные порты в других операционных системах Cisco и других торговых марках коммутаторов настраиваются по-другому. Дополнительные сведения см. в документации по коммутатору.
Необходимые компоненты
Перед началом работы убедитесь, что вы понимаете план мониторинга сети с помощью Defender для Интернета вещей и порты SPAN, которые необходимо настроить.
Дополнительные сведения см. в разделе "Методы зеркало трафика" для мониторинга OT.
RSPAN требует определенной виртуальной локальной сети для переноса отслеживаемого трафика SPAN между коммутаторами. Перед началом работы убедитесь, что коммутатор поддерживает RSPAN.
Убедитесь, что параметр зеркало ing на коммутаторе отключен.
Убедитесь, что удаленная виртуальная локальная сеть разрешена на магистральном порту между коммутаторами источника и назначения.
Убедитесь, что все коммутаторы, подключающиеся к одному сеансу RSPAN, относятся к одному поставщику.
Убедитесь, что магистральный порт, совместно используемый удаленной виртуальной локальной сетью между коммутаторами, еще не определен как порт источника сеанса зеркало.
Удаленная виртуальная локальная сеть увеличивает пропускную способность на магистральном порту на объем трафика, зеркало из исходного сеанса. Убедитесь, что магистральный порт коммутатора может поддерживать повышенную пропускную способность.
Внимание
Повышенная пропускная способность, будь то из-за больших объемов пропускной способности или большого количества коммутаторов, может привести к сбою переключения и, следовательно, привести к снижению всей сети. При настройке трафика зеркало с помощью RSPAN необходимо учитывать следующее:
- Количество коммутаторов доступа и распространения, настроенных с помощью RSPAN.
- Корреляция пропускной способности для удаленной виртуальной локальной сети на каждом коммутаторе.
Настройка исходного коммутатора
В исходном коммутаторе:
Введите режим и создайте
global configurationвыделенную виртуальную локальную сеть.Определите новую виртуальную локальную сеть как виртуальную локальную сеть RSPAN, а затем вернитесь в
configure terminalрежим.Настройте все 24 порта как источники сеанса.
Настройте виртуальную ЛС RSPAN как назначение сеанса.
Вернитесь в привилегированный
EXECрежим и проверьте конфигурацию зеркало порта.
Настройка целевого коммутатора
На целевом коммутаторе:
Введите
global configurationрежим и настройте виртуальную локальную сеть RSPAN для источника сеанса.Настройте физический порт 24 как назначение сеанса.
Вернитесь в привилегированный
EXECрежим и проверьте конфигурацию зеркало порта.Сохраните конфигурацию.
Проверка зеркало трафика
После настройки трафика зеркало выполните попытку получить образец записанного трафика (PCAP-файл) из коммутатора или порта зеркало.
Пример PCAP-файла поможет вам:
- Проверка конфигурации коммутатора
- Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
- Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором
Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.
Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.
Если большая часть трафика — это сообщения ARP, то конфигурация зеркало трафика не является правильной.
Убедитесь, что протоколы OT присутствуют в проанализированном трафике.
Например:
