Aracılığıyla paylaş

Cisco anahtarıyla ERSPAN trafik yansıtmayı yapılandırma

  • Makale

Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.

Ağ düzeyi dağıtımının vurgulandığı ilerleme çubuğu diyagramı.

Bu makalede, Cisco anahtarı için kapsüllenmiş uzak anahtarlı bağlantı noktası çözümleyicisi (ERSPAN) trafik yansıtmasını yapılandırmaya yönelik üst düzey yönergeler sağlanır.

Genel yönlendirme kapsülleme (GRE) tünel hedefi olarak alma yönlendiricinizi kullanmanızı öneririz.

Önkoşullar

Başlamadan önce IoT için Defender ile ağ izleme planınızı ve yapılandırmak istediğiniz SPAN bağlantı noktalarını anladığınızdan emin olun.

Daha fazla bilgi için bkz . OT izleme için trafik yansıtma yöntemleri.

Cisco anahtarını yapılandırma

Aşağıdaki kod, Cisco anahtarında yapılandırılmış ERSPAN için örnek ifconfig bir çıktıyı gösterir:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Daha fazla bilgi için bkz . OT ağ algılayıcılarından CLI komut başvurusu.

Trafik yansıtmayı doğrulama

Trafik yansıtmayı yapılandırdıktan sonra, SPAN veya yansıtma bağlantı noktasından kaydedilmiş trafiğin (PCAP dosyası) bir örneğini almayı deneyin.

Örnek bir PCAP dosyası size yardımcı olur:

  • Anahtar yapılandırmasını doğrulama
  • Anahtarınızdan geçen trafiğin izleme için uygun olduğunu onaylayın
  • Anahtar tarafından algılanan bant genişliğini ve tahmini cihaz sayısını belirleme

  1. Birkaç dakika boyunca örnek bir PCAP dosyası kaydetmek için Wireshark gibi bir ağ protokolü çözümleyicisi uygulaması kullanın. Örneğin, bir dizüstü bilgisayarı trafik izlemeyi yapılandırdığınız bir bağlantı noktasına bağlayın.

  2. Tek noktaya yayın paketlerinin kayıt trafiğinde mevcut olup olmadığını denetleyin. Tek noktaya yayın trafiği, adresten diğerine gönderilen trafiktir.

    Trafiğin çoğu ARP iletileriyse, trafik yansıtma yapılandırmanız doğru değildir.

  3. OT protokollerinizin analiz edilen trafikte mevcut olduğunu doğrulayın.

    Örneğin:

    Wireshark doğrulamasının ekran görüntüsü.

OT ağ algılayıcınızda ERSPAN'ı yapılandırma

Algılayıcınızı dağıttığınızda, Arabirim yapılandırmaları sayfasında ERSPAN ayarlarını yapılandırdığından emin olun. Daha fazla bilgi için bkz.

Örneğin:

OT algılayıcısı ayarlarında ERSPAN ayarlarını yapılandırma işleminin ekran görüntüsü.

Sonraki adımlar

« IoT için Defender'a OT algılayıcıları ekleme

Bulut yönetimi için OT algılayıcıları sağlama »