使用遠端 SPAN (RSPAN) 連接埠設定流量鏡像

  • 發行項

本文是一系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑

Diagram of a progress bar with Network level deployment highlighted.

本文說明在 Cisco 2960 交換器上設定 RSPAN 的範例程序,以及執行 IOS 的 24 個連接埠。

重要

此文章僅供指導使用,而非作為指示使用。 其他 Cisco 作業系統和其他交換器品牌上的鏡像連接埠會以不同的方式設定。 如需詳細資訊,請參閱您的交換器文件。

必要條件

  • 開始之前,請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。

    如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法

  • RSPAN 需要特定 VLAN,才能在交換器之間攜帶受監視的 SPAN 流量。 在開始前,確定交換器支援 RSPAN。

  • 請確定交換器上的鏡像選項已關閉。

  • 確定來源與目的地交換器之間的主幹連接埠上允許遠端 VLAN。

  • 請確定所有連線到相同 RSPAN 工作階段的交換器都來自相同的廠商。

  • 確定在交換器之間共用相同遠端 VLAN 的主幹連接埠並未定義為鏡像工作階段來源連接埠。

  • 遠端 VLAN 藉由從來源工作階段鏡像的流量,增加主幹連接埠上的頻寬。 請確定交換器的主幹連接埠可以支援增加的頻寬。

警告

無論是由於大量的輸送量還是大量的交換器,頻寬的增加都可能會導致交換器故障,從而導致整個網路關閉。 使用 RSPAN 設定流量鏡像時,請務必考慮下列事項:

  • 您使用 RSPAN 設定的存取/散發交換器數目。
  • 每台交換器上遠端 VLAN 的相關輸送量。

設定來源交換器

在來源交換器上:

  1. 進入 global configuration 模式並建立新的專用 VLAN。

  2. 將新的 VLAN 識別為 RSPAN VLAN,然後返回 configure terminal 模式。

  3. 將全部 24 個連接埠設定為工作階段來源。

  4. 將 RSPAN VLAN 設定為工作階段目的地。

  5. 返回特殊權限 EXEC 模式,並確認連接埠鏡像設定。

設定目的地交換器

在目的地交換器上:

  1. 進入 global configuration 模式,並將 RSPAN VLAN 設定為工作階段來源。

  2. 將實體連接埠 24 設定為工作階段目的地。

  3. 返回特殊權限 EXEC 模式,並確認連接埠鏡像設定。

  4. 儲存設定。

驗證流量鏡像

設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您:

  • 驗證交換器設定
  • 確認通過交換器的流量與監視相關
  • 識別交換器偵測到的頻寬和估計裝置數目

  1. 使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線到您已設定流量監視的連接埠。

  2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

    如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。

  3. 確認您的 OT 通訊協定存在於分析的流量中。

    例如:

    Screenshot of Wireshark validation.

下一步

« 將 OT 感應器上線至適用於 IoT 的 Defender

針對雲端管理佈建 OT 感應器 »