使用 Hyper-V vSwitch 設定流量鏡像

  • 發行項

本文是系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑

Diagram of a progress bar with Network level deployment highlighted.

本文描述如何在 Hyper-V Vswitch 環境中使用混合模式作為設定流量鏡像的因應措施,類似於 SPAN 連接埠。 交換器上的 SPAN 連接埠會將交換器上介面的本地流量鏡像處理到相同交換器上的不同介面。

如需詳細資訊,請參閱使用虛擬交換器進行流量鏡像

必要條件

在開始之前:

  • 請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。

    如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法

  • 請確保虛擬設備沒有正在執行的執行個體。

  • 請確定您已在虛擬交換器的資料連接埠上啟用 [確定 SPAN],而不是管理連接埠。

  • 請確保資料連接埠 SPAN 設定未設定 IP 位址。

使用 Hyper-V 配置流量鏡像連接埠

  1. 開啟 [虛擬交換器管理員]。

  2. 在 [虛擬交換器] 清單中,選取 [新虛擬網路交換器]>[外部] 作為專用合併網路介面卡類型。

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. 選取 [建立虛擬交換器]

  4. 在 [連線類型] 區域中,選取 [外部網路],並確定已選取 [允許管理作業系統共用此網路介面卡] 選項。 例如:

    Screenshot of the External network option.

  5. 選取 [確定]。

將 SPAN 虛擬介面連結至虛擬交換器

使用 Windows PowerShell 或 Hyper-V 管理員,將 SPAN 虛擬介面連結至您稍早建立的虛擬交換器。

如果使用 PowerShell,則請將新增的介面卡硬體名稱定義為 Monitor。 若您使用 Hyper-V 管理員,則會將新增的介面卡硬體名稱設定為 Network Adapter

使用 PowerShell 將 SPAN 虛擬介面連結至虛擬交換器

  1. 選取您稍早設定的新 SPAN 虛擬交換器,然後執行下列命令以新增網路介面卡:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. 使用下列命令,為選取的介面啟用連接埠鏡像作為範圍目的地:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    其中:

    參數 描述
    VK-C1000V-LongRunning-650 CPPM VA 名稱
    vSwitch_Span 新增的 SPAN 虛擬交換器名稱
    監視 新增的介面卡名稱

  3. 完成時,選取確定

使用 Hyper-V 管理員將 SPAN 虛擬介面連結至虛擬交換器

  1. 在 Hyper-V 管理員的 [硬體] 清單中,選取 [網路介面卡]

  2. 在 [虛擬交換器] 欄位中,選取 [vSwitch_Span]

    Screenshot of selecting the following options on the virtual switch screen.

  3. 在 [硬體] 清單的 [網路介面卡] 下拉式清單中,選取 [硬體加速],然後清除監視網路介面的 [虛擬機器佇列]

  4. 在 [硬體] 清單的 [網路介面卡] 下拉式清單中,選取 [進階功能]。 在 [連接埠鏡像] 區段下,選取 [目的地] 作為新虛擬介面的鏡像模式。

    Screenshot of the selections needed to configure mirroring mode.

  5. 選取 [確定]。

開啟 Microsoft NDIS 擷取延伸模組

針對您稍早建立的虛擬交換器開啟 Microsoft NDIS 擷取延伸模組的支援。

若要為新的虛擬交換器啟用 Microsoft NDIS Capture 延伸模組

  1. 開啟 Hyper-V 主機上的虛擬交換器管理員。

  2. 在 [虛擬交換器] 清單中,展開名為 vSwitch_Span 的虛擬交換器,然後選取 [延伸模組]

  3. 在 [交換器延伸模組] 欄位中,選取 [Microsoft NDIS Capture]

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. 選取 [確定]。

設定交換器的鏡像模式

在您稍早建立的虛擬交換器上設定鏡像模式,以便將外部連接埠定義為鏡像來源。 這包括將 Hyper-V 虛擬交換器 (vSwitch_Span) 設定為將任何來自外部來源連接埠的流量轉寄至您設定為目的地的虛擬網路介面卡。

若要將虛擬交換器的外部連接埠設定為來源鏡像模式,請執行:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

其中:

參數 描述
vSwitch_Span 稍早建立的虛擬交換器名稱
MonitorMode=2 來源
MonitorMode=1 Destination
MonitorMode=0

若要確認監視模式狀態,請執行:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
參數 描述
vSwitch_Span 新增的 SPAN 虛擬交換器名稱

驗證流量鏡像

設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您:

  • 驗證交換器設定
  • 確認通過交換器的流量與監視相關
  • 識別交換器偵測到的頻寬和估計裝置數目

  1. 使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線到您已設定流量監視的連接埠。

  2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

    如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。

  3. 確認您的 OT 通訊協定存在於分析的流量中。

    例如:

    Screenshot of Wireshark validation.

下一步

« 將 OT 感應器上線至適用於 IoT 的 Defender

針對雲端管理佈建 OT 感應器 »