Konfigurera trafikspegling med en ESXi vSwitch
Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.
I den här artikeln beskrivs hur du använder promiskuöst läge i en ESXi vSwitch-miljö som en lösning för att konfigurera trafikspegling, liknande en SPAN-port. En SPAN-port på växeln speglar lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.
Mer information finns i Trafikspegling med virtuella växlar.
Förutsättningar
Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.
Mer information finns i Trafikspeglingsmetoder för OT-övervakning.
Konfigurera ett övervakningsgränssnitt med promiskuöst läge
Så här konfigurerar du ett övervakningsgränssnitt med promiskuöst läge på en ESXi v-Switch:
Öppna sidan vSwitch-egenskaper och välj Lägg till virtuell standardväxel.
Ange SPAN Network som nätverksetikett.
I fältet MTU anger du 4096.
Välj Säkerhet och kontrollera att principen För promiskuöst läge är inställd på Acceptera läge.
Välj Lägg till för att stänga vSwitch-egenskaperna.
Markera den vSwitch som du just har skapat och välj Lägg till överordnad länk.
Välj det fysiska nätverkskortet som du ska använda för SPAN-trafiken, ändra MTU till 4096 och välj sedan Spara.
Öppna sidan Egenskaper för portgrupp och välj Lägg till portgrupp.
Ange SPAN-portgruppen som namn, ange 4095 som VLAN-ID och välj SPAN-nätverk i listrutan vSwitch och välj sedan Lägg till.
Öppna egenskaperna för den virtuella datorn OT Sensor.
För Nätverkskort 2 väljer du SPAN-nätverket.
Välj OK.
Anslut till sensorn och kontrollera att speglingen fungerar.
Verifiera trafikspegling
När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.
En PCAP-exempelfil hjälper dig:
- Verifiera växelkonfigurationen
- Bekräfta att trafiken som går via växeln är relevant för övervakning
- Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln
Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.
Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.
Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.
Kontrollera att dina OT-protokoll finns i den analyserade trafiken.
Till exempel: