Cisco anahtarıyla ERSPAN trafik yansıtmayı yapılandırma
Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.
Bu makalede, Cisco anahtarı için kapsüllenmiş uzak anahtarlı bağlantı noktası çözümleyicisi (ERSPAN) trafik yansıtmasını yapılandırmaya yönelik üst düzey yönergeler sağlanır.
Genel yönlendirme kapsülleme (GRE) tünel hedefi olarak alma yönlendiricinizi kullanmanızı öneririz.
Önkoşullar
Başlamadan önce IoT için Defender ile ağ izleme planınızı ve yapılandırmak istediğiniz SPAN bağlantı noktalarını anladığınızdan emin olun.
Daha fazla bilgi için bkz . OT izleme için trafik yansıtma yöntemleri.
Cisco anahtarını yapılandırma
Aşağıdaki kod, Cisco anahtarında yapılandırılmış ERSPAN için örnek ifconfig
bir çıktıyı gösterir:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Daha fazla bilgi için bkz . OT ağ algılayıcılarından CLI komut başvurusu.
Trafik yansıtmayı doğrulama
Trafik yansıtmayı yapılandırdıktan sonra, SPAN veya yansıtma bağlantı noktasından kaydedilmiş trafiğin (PCAP dosyası) bir örneğini almayı deneyin.
Örnek bir PCAP dosyası size yardımcı olur:
- Anahtar yapılandırmasını doğrulama
- Anahtarınızdan geçen trafiğin izleme için uygun olduğunu onaylayın
- Anahtar tarafından algılanan bant genişliğini ve tahmini cihaz sayısını belirleme
Birkaç dakika boyunca örnek bir PCAP dosyası kaydetmek için Wireshark gibi bir ağ protokolü çözümleyicisi uygulaması kullanın. Örneğin, bir dizüstü bilgisayarı trafik izlemeyi yapılandırdığınız bir bağlantı noktasına bağlayın.
Tek noktaya yayın paketlerinin kayıt trafiğinde mevcut olup olmadığını denetleyin. Tek noktaya yayın trafiği, adresten diğerine gönderilen trafiktir.
Trafiğin çoğu ARP iletileriyse, trafik yansıtma yapılandırmanız doğru değildir.
OT protokollerinizin analiz edilen trafikte mevcut olduğunu doğrulayın.
Örneğin:
OT ağ algılayıcınızda ERSPAN'ı yapılandırma
Algılayıcınızı dağıttığınızda, Arabirim yapılandırmaları sayfasında ERSPAN ayarlarını yapılandırdığından emin olun. Daha fazla bilgi için bkz.
- Dağıtım sihirbazı GUI'sinde: İzlemek istediğiniz arabirimleri tanımlayın
- OT algılayıcı sistemi ayarlarında: Algılayıcının izleme arabirimlerini güncelleştirme (ERSPAN'ı yapılandırma)
Örneğin: