Konfigurera trafikspegling med en ESXi vSwitch

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram of a progress bar with Network level deployment highlighted.

I den här artikeln beskrivs hur du använder promiskuöst läge i en ESXi vSwitch-miljö som en lösning för att konfigurera trafikspegling, liknande en SPAN-port. En SPAN-port på växeln speglar lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.

Mer information finns i Trafikspegling med virtuella växlar.

Förutsättningar

Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

Konfigurera ett övervakningsgränssnitt med promiskuöst läge

Så här konfigurerar du ett övervakningsgränssnitt med promiskuöst läge på en ESXi v-Switch:

  1. Öppna sidan vSwitch-egenskaper och välj Lägg till virtuell standardväxel.

  2. Ange SPAN Network som nätverksetikett.

  3. I fältet MTU anger du 4096.

  4. Välj Säkerhet och kontrollera att principen För promiskuöst läge är inställd på Acceptera läge.

  5. Välj Lägg till för att stänga vSwitch-egenskaperna.

  6. Markera den vSwitch som du just har skapat och välj Lägg till överordnad länk.

  7. Välj det fysiska nätverkskortet som du ska använda för SPAN-trafiken, ändra MTU till 4096 och välj sedan Spara.

  8. Öppna sidan Egenskaper för portgrupp och välj Lägg till portgrupp.

  9. Ange SPAN-portgruppen som namn, ange 4095 som VLAN-ID och välj SPAN-nätverk i listrutan vSwitch och välj sedan Lägg till.

  10. Öppna egenskaperna för den virtuella datorn OT Sensor.

  11. För Nätverkskort 2 väljer du SPAN-nätverket.

  12. Välj OK.

  13. Anslut till sensorn och kontrollera att speglingen fungerar.

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »