通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用交换机 SPAN 端口配置镜像

  • 项目

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。

Diagram of a progress bar with Network level deployment highlighted.

在交换机上配置一个 SPAN 端口,以将本地流量从交换机上的接口镜像到同一交换机上的其他接口。

本文提供了使用 Cisco CLI 或 GUI 为具有 24 个运行 IOS 的端口的 Cisco 2960 交换机配置 SPAN 端口的示例配置过程和程序。

重要

本文仅作为示例指导而不是说明。 其他 Cisco 操作系统和其他交换机品牌上的镜像端口配置方式不同。 有关详细信息,请参阅交换机文档。

先决条件

在开始之前,请确保了解使用 Defender for IoT 进行网络监视的计划,以及要配置的 SPAN 端口。

有关详细信息,请参阅用于 OT 监视的流量镜像方法

示例 CLI SPAN 端口配置 (Cisco 2960)

以下命令演示了通过 CLI 在 Cisco 2960 上配置 SPAN 端口的示例过程:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

示例 GUI SPAN 端口配置 (Cisco 2960)

此过程描述了通过 GUI 在 Cisco 2960 上配置 SPAN 端口的概要步骤。 有关详细信息,请参阅相关 Cisco 文档。

从交换机的配置 GUI:

  1. 进入全局配置模式。
  2. 将前 23 个端口配置为会话源,仅镜像 RX 数据包。
  3. 将端口 24 配置为会话目标。
  4. 返回特权 EXEC 模式。
  5. 验证端口镜像配置。
  6. 保存配置。

具有多个 VLAN 的示例 CLI SPAN 端口配置 (Cisco 2960)

Defender for IoT 无需经过任何额外的配置即可用于监视网络中配置的多个 VLAN,但前提是网络交换机已配置为将 VLAN 标记发送到 Defender for IoT。

例如,必须在 Cisco 交换机上配置以下命令才能支持在 Defender for IoT 中监视 VLAN:

监视会话:以下命令将交换机配置为将 VLAN 发送到 SPAN 端口。

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

监视中继端口 F.E. Gi1/1:以下命令将交换机配置为支持中继端口上配置的 VLAN:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

验证流量镜像

配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。

示例 PCAP 文件将有助于:

  • 验证交换机配置
  • 确认通过交换机的流量与监视相关
  • 标识交换机检测到的带宽和预估设备数

  1. 使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。

  2. 检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。

    如果大多数流量是 ARP 消息,则流量镜像配置不正确。

  3. 验证已分析的流量中是否存在 OT 协议。

    例如:

    Screenshot of Wireshark validation.

使用单向网关/数据二极管进行部署

可以使用单向网关(也称为数据二极管)部署 Defender for IoT。 数据二极管提供了一种安全的方式来监视网络,因为它们只允许数据向一个方向流动。 这意味着可以在不影响网络安全的情况下监视数据,因为不能以相反的方向发回数据。 数据二极管解决方案的示例包括WaterfallOwl Cyber DefenseHirschmann

如果需要单向网关,建议在通往传感器监视端口的 SPAN 流量上部署数据二极管。 例如,使用数据二极管监视来自敏感系统(例如工业控制系统)的流量,同时保持系统与监视系统完全隔离。

将 OT 传感器置于电子外围之外,并让它们接收来自二极管的流量。 在此场景中,你将能够从云中管理 Defender for IoT 传感器,使用最新的威胁情报包自动更新它们。

后续步骤

« 将 OT 传感器加入到 Defender for IoT

预配 OT 传感器以进行云管理 »