使用遠端 SPAN (RSPAN) 連接埠設定流量鏡像
本文是一系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。
本文說明在 Cisco 2960 交換器上設定 RSPAN 的範例程序,以及執行 IOS 的 24 個連接埠。
重要
此文章僅供指導使用,而非作為指示使用。 其他 Cisco 作業系統和其他交換器品牌上的鏡像連接埠會以不同的方式設定。 如需詳細資訊,請參閱您的交換器文件。
必要條件
開始之前,請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。
如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法。
RSPAN 需要特定 VLAN,才能在交換器之間攜帶受監視的 SPAN 流量。 在開始前,確定交換器支援 RSPAN。
請確定交換器上的鏡像選項已關閉。
確定來源與目的地交換器之間的主幹連接埠上允許遠端 VLAN。
請確定所有連線到相同 RSPAN 工作階段的交換器都來自相同的廠商。
確定在交換器之間共用相同遠端 VLAN 的主幹連接埠並未定義為鏡像工作階段來源連接埠。
遠端 VLAN 藉由從來源工作階段鏡像的流量,增加主幹連接埠上的頻寬。 請確定交換器的主幹連接埠可以支援增加的頻寬。
警告
無論是由於大量的輸送量還是大量的交換器,頻寬的增加都可能會導致交換器故障,從而導致整個網路關閉。 使用 RSPAN 設定流量鏡像時,請務必考慮下列事項:
- 您使用 RSPAN 設定的存取/散發交換器數目。
- 每台交換器上遠端 VLAN 的相關輸送量。
設定來源交換器
在來源交換器上:
進入
global configuration模式並建立新的專用 VLAN。將新的 VLAN 識別為 RSPAN VLAN,然後返回
configure terminal模式。將全部 24 個連接埠設定為工作階段來源。
將 RSPAN VLAN 設定為工作階段目的地。
返回特殊權限
EXEC模式,並確認連接埠鏡像設定。
設定目的地交換器
在目的地交換器上:
進入
global configuration模式,並將 RSPAN VLAN 設定為工作階段來源。將實體連接埠 24 設定為工作階段目的地。
返回特殊權限
EXEC模式,並確認連接埠鏡像設定。儲存設定。
驗證流量鏡像
設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。
範例 PCAP 檔案將會協助您:
- 驗證交換器設定
- 確認通過交換器的流量與監視相關
- 識別交換器偵測到的頻寬和估計裝置數目
使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線到您已設定流量監視的連接埠。
檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。
如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。
確認您的 OT 通訊協定存在於分析的流量中。
例如:
