Dela via

Konfigurera spegling med en SWITCH SPAN-port

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram of a progress bar with Network level deployment highlighted.

Konfigurera en SPAN-port på växeln för att spegla lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.

Den här artikeln innehåller exempel på konfigurationsprocesser och procedurer för att konfigurera en SPAN-port, med hjälp av antingen Cisco CLI eller GUI, för en Cisco 2960-växel med 24 portar som kör IOS.

Viktigt!

Den här artikeln är endast avsedd som exempelvägledning och inte som instruktioner. Speglingsportar på andra Cisco-operativsystem och andra switchmärken konfigureras på olika sätt. Mer information finns i din växeldokumentation.

Förutsättningar

Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

Exempel på CLI SPAN-portkonfiguration (Cisco 2960)

Följande kommandon visar en exempelprocess för att konfigurera en SPAN-port på en Cisco 2960 via CLI:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

Exempel på GUI SPAN-portkonfiguration (Cisco 2960)

Den här proceduren beskriver de övergripande stegen för att konfigurera en SPAN-port på en Cisco 2960 via GUI. Mer information finns i relevant Cisco-dokumentation.

Från växelns konfigurations-GUI:

  1. Ange det globala konfigurationsläget.
  2. Konfigurera de första 23 portarna som en sessionskälla och spegla endast RX-paket.
  3. Konfigurera port 24 som ett sessionsmål.
  4. Återgå till privilegierat EXEC-läge.
  5. Kontrollera konfigurationen för portspegling.
  6. Spara konfigurationen.

Exempel på CLI SPAN-portkonfiguration med flera VLAN (Cisco 2960)

Defender för IoT kan övervaka flera VLAN som konfigurerats i nätverket utan någon extra konfiguration, så länge nätverksväxeln är konfigurerad för att skicka VLAN-taggar till Defender för IoT.

Följande kommandon måste till exempel konfigureras på en Cisco-växel för att stödja övervakning av VLAN i Defender för IoT:

Övervakningssession: Följande kommandon konfigurerar växeln för att skicka VLAN till SPAN-porten.

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

Övervaka Trunk Port F.E. Gi1/1: Följande kommandon konfigurerar växeln för att stödja VLAN som konfigurerats på stamporten:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Distribuera med enkelriktade gatewayer/datadioder

Du kan distribuera Defender för IoT med enkelriktade gatewayer, även kallade datadioder. Datadioder är ett säkert sätt att övervaka nätverk eftersom de endast tillåter att data flödar i en riktning. Det innebär att data kan övervakas utan att äventyra nätverkets säkerhet, eftersom data inte kan skickas tillbaka i motsatt riktning. Exempel på datadiodlösningar är Vattenfall, Owl Cyber Defense eller Hirschmann.

Om enkelriktade gatewayer behövs rekommenderar vi att du distribuerar dina datadioder på SPAN-trafiken som går till sensorövervakningsporten. Använd till exempel en datadiod för att övervaka trafik från ett känsligt system, till exempel ett industriellt kontrollsystem, samtidigt som systemet hålls helt isolerat från övervakningssystemet.

Placera dina OT-sensorer utanför den elektroniska perimetern och låt dem ta emot trafik från dioden. I det här scenariot kan du hantera dina Defender for IoT-sensorer från molnet och hålla dem automatiskt uppdaterade med de senaste hotinformationspaketen.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »