Hyper-V vSwitch ile trafik yansıtmayı yapılandırma
Bu makale, IoT için Microsoft Defender ile OT izleme için dağıtım yolunu açıklayan bir dizi makaleden biridir.
Bu makalede, SPAN bağlantı noktasına benzer şekilde trafik yansıtmayı yapılandırmak için geçici bir çözüm olarak Hyper-V Vswitch ortamında Promiscuous modunun nasıl kullanılacağı açıklanmaktadır. Anahtarınızdaki bir SPAN bağlantı noktası, anahtardaki arabirimlerden gelen yerel trafiği aynı anahtardaki farklı bir arabirime yansıtır.
Daha fazla bilgi için bkz . Sanal anahtarlarla trafik yansıtma.
Önkoşullar
Başlamadan önce:
IoT için Defender ile ağ izleme planınızı ve yapılandırmak istediğiniz SPAN bağlantı noktalarını anladığınızdan emin olun.
Daha fazla bilgi için bkz . OT izleme için trafik yansıtma yöntemleri.
Çalışan bir sanal gerecin örneği olmadığından emin olun.
Yönetim bağlantı noktasında değil, sanal anahtarınızın veri bağlantı noktasında SPAN'i etkinleştirdiğinizden emin olun.
Veri bağlantı noktası SPAN yapılandırmasının bir IP adresiyle yapılandırılmadığından emin olun.
Hyper-V ile trafik yansıtma bağlantı noktası yapılandırma
Sanal Anahtar Yöneticisi'ni açın.
Sanal anahtarlar listesinde, ayrılmış dağıtılmış ağ bağdaştırıcısı türü olarak Yeni sanal ağ anahtarı>Dış'ı seçin.
Sanal Anahtar Oluştur'u seçin.
Bağlan türü alanında Dış ağ'ı seçin ve Yönetim işletim sisteminin bu ağ bağdaştırıcısını paylaşmasına izin ver seçeneğinin belirlendiğinden emin olun. Örneğin:
Tamam'ı seçin.
Sanal anahtara SPAN Sanal Arabirimi ekleme
Daha önce oluşturduğunuz sanal anahtara bir SPAN sanal arabirimi eklemek için Windows PowerShell veya Hyper-V Yöneticisi'ni kullanın.
PowerShell kullanıyorsanız, yeni eklenen bağdaştırıcı donanımının adını olarak Monitor
tanımlayın. Hyper-V Yöneticisi'ni kullanıyorsanız, yeni eklenen bağdaştırıcı donanımının adı olarak Network Adapter
ayarlanır.
PowerShell ile sanal anahtara SPAN sanal arabirimi ekleme
Daha önce yapılandırdığınız yeni eklenen SPAN sanal anahtarını seçin ve yeni bir ağ bağdaştırıcısı eklemek için aşağıdaki komutu çalıştırın:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
Aşağıdaki komutla, seçilen arabirim için bağlantı noktası yansıtmayı span hedefi olarak etkinleştirin:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Where:
Parametre Açıklama VK-C1000V-LongRunning-650 CPPM VA adı vSwitch_Span Yeni eklenen SPAN sanal anahtarı adı İzleme Yeni eklenen bağdaştırıcı adı Bitirdiğinizde Tamam'ı seçin.
Hyper-V Yöneticisi ile sanal anahtara SPAN sanal arabirimi ekleme
Hyper-V Yöneticisi'nin Donanım listesinde Ağ Bağdaştırıcısı'nı seçin.
Sanal anahtar alanında vSwitch_Span'ı seçin.
Donanım listesinde, Ağ Bağdaştırıcısı açılan listesinin altında Donanım Hızlandırma'yı seçin ve izleme ağ arabirimi için Sanal Makine Kuyruğu seçeneğini temizleyin.
Donanım listesinde, Ağ Bağdaştırıcısı açılan listesinin altında Gelişmiş Özellikler'i seçin. Bağlantı Noktası Yansıtma bölümünde, yeni sanal arabirim için yansıtma modu olarak Hedef'i seçin.
Tamam'ı seçin.
Microsoft NDIS yakalama uzantılarını açma
Daha önce oluşturduğunuz sanal anahtar için Microsoft NDIS Yakalama Uzantıları desteğini açın.
Yeni sanal anahtarınız için Microsoft NDIS yakalama uzantılarını etkinleştirmek için:
Hyper-V ana bilgisayarında Sanal Anahtar Yöneticisi'ni açın.
Sanal Anahtarlar listesinde sanal anahtar adını
vSwitch_Span
genişletin ve Uzantılar'ı seçin.Uzantıları Değiştir alanında Microsoft NDIS Yakalama'yı seçin.
Tamam'ı seçin.
Anahtarın yansıtma modunu yapılandırma
Dış bağlantı noktasının yansıtma kaynağı olarak tanımlanması için daha önce oluşturduğunuz sanal anahtarda yansıtma modunu yapılandırın. Bu, dış kaynak bağlantı noktasına gelen trafiği hedef olarak yapılandırılmış bir sanal ağ bağdaştırıcısına iletmek için Hyper-V sanal anahtarını (vSwitch_Span) yapılandırmayı içerir.
Sanal anahtarın dış bağlantı noktasını kaynak yansıtma modu olarak ayarlamak için şunu çalıştırın:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Where:
Parametre | Açıklama |
---|---|
vSwitch_Span | Daha önce oluşturduğunuz sanal anahtarın adı |
MonitorMode=2 | Source |
MonitorMode=1 | Hedef |
MonitorMode=0 | Hiçbiri |
İzleme modu durumunu doğrulamak için şunu çalıştırın:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametre | Açıklama |
---|---|
vSwitch_Span | Yeni eklenen SPAN sanal anahtarı adı |
Trafik yansıtmayı doğrulama
Trafik yansıtmayı yapılandırdıktan sonra, SPAN veya yansıtma bağlantı noktasından kaydedilmiş trafiğin (PCAP dosyası) bir örneğini almayı deneyin.
Örnek bir PCAP dosyası size yardımcı olur:
- Anahtar yapılandırmasını doğrulama
- Anahtarınızdan geçen trafiğin izleme için uygun olduğunu onaylayın
- Anahtar tarafından algılanan bant genişliğini ve tahmini cihaz sayısını belirleme
Birkaç dakika boyunca örnek bir PCAP dosyası kaydetmek için Wireshark gibi bir ağ protokolü çözümleyicisi uygulaması kullanın. Örneğin, bir dizüstü bilgisayarı trafik izlemeyi yapılandırdığınız bir bağlantı noktasına bağlayın.
Tek noktaya yayın paketlerinin kayıt trafiğinde mevcut olup olmadığını denetleyin. Tek noktaya yayın trafiği, adresten diğerine gönderilen trafiktir.
Trafiğin çoğu ARP iletileriyse, trafik yansıtma yapılandırmanız doğru değildir.
OT protokollerinizin analiz edilen trafikte mevcut olduğunu doğrulayın.
Örneğin: