Dela via

Konfigurera trafikspegling med en RSPAN-port (Remote SPAN)

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram of a progress bar with Network level deployment highlighted.

Den här artikeln beskriver en exempelprocedur för att konfigurera RSPAN på en Cisco 2960-växel med 24 portar som kör IOS.

Viktigt!

Den här artikeln är endast avsedd som vägledning och inte som instruktioner. Speglingsportar på andra Cisco-operativsystem och andra switchmärken konfigureras på olika sätt. Mer information finns i din växeldokumentation.

Förutsättningar

  • Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

    Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

  • RSPAN kräver ett specifikt VLAN för att transportera den övervakade SPAN-trafiken mellan växlar. Kontrollera att växeln stöder RSPAN innan du börjar.

  • Kontrollera att speglingsalternativet på växeln är inaktiverat.

  • Kontrollera att fjärr-VLAN är tillåtet på den trunkerade porten mellan käll- och målväxlarna.

  • Kontrollera att alla växlar som ansluter till samma RSPAN-session kommer från samma leverantör.

  • Kontrollera att stamporten som delar samma fjärranslutna VLAN mellan växlar inte redan har definierats som en speglingssessionskällaport.

  • Fjärr-VLAN ökar bandbredden på den trunkerade porten med den mängd trafik som speglas från källsessionen. Kontrollera att växelns stamport har stöd för den ökade bandbredden.

Varning

En ökad bandbredd, oavsett om det beror på stora mängder dataflöde eller ett stort antal växlar, kan leda till att en växel misslyckas och därmed störta hela nätverket. När du konfigurerar trafikspegling med RSPAN bör du tänka på följande:

  • Antalet åtkomst-/distributionsväxlar som du konfigurerar med RSPAN.
  • Korrelerande dataflöde för fjärr-VLAN på varje växel.

Konfigurera källväxeln

På källväxeln:

  1. Ange global configuration läge och skapa ett nytt, dedikerat VLAN.

  2. Identifiera ditt nya VLAN som RSPAN VLAN och återgå sedan till configure terminal läget.

  3. Konfigurera alla 24 portar som sessionskällor.

  4. Konfigurera RSPAN VLAN som sessionsmål.

  5. Gå tillbaka till privilegierat EXEC läge och verifiera konfigurationen för portspegling.

Konfigurera målväxeln

På målväxeln:

  1. Ange global configuration läge och konfigurera RSPAN VLAN som sessionskälla.

  2. Konfigurera fysisk port 24 som sessionsmål.

  3. Gå tillbaka till privilegierat EXEC läge och verifiera konfigurationen för portspegling.

  4. Spara konfigurationen.

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »