Konfigurace zrcadlení provozu pomocí přepínače Hyper-V
Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.
Tento článek popisuje, jak používat režim Promiscuous v prostředí Hyper-V Vswitch jako alternativní řešení pro konfiguraci zrcadlení provozu, podobně jako port SPAN. Port SPAN na přepínači zrcadlí místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači.
Další informace naleznete v tématu Zrcadlení provozu s virtuálními přepínači.
Požadavky
Než začnete, potřebujete:
Ujistěte se, že rozumíte plánu monitorování sítě pomocí defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.
Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.
Ujistěte se, že není spuštěná žádná instance virtuálního zařízení.
Ujistěte se, že jste na datovém portu virtuálního přepínače povolili span, a ne port pro správu.
Ujistěte se, že konfigurace span datového portu není nakonfigurovaná s IP adresou.
Konfigurace portu zrcadlení provozu pomocí Technologie Hyper-V
Otevřete Správce virtuálního přepínače.
V seznamu virtuálních přepínačů vyberte jako typ vyhrazeného rozloženého síťového adaptéru možnost Nový přepínač>virtuální sítě Externí.
Vyberte Vytvořit virtuální přepínač.
V oblasti typu Připojení vyberte Externí síť a ujistěte se, že je vybraná možnost Povolit operačnímu systému správy sdílet tento síťový adaptér. Příklad:
Vyberte OK.
Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači
Pomocí Windows PowerShellu nebo Správce technologie Hyper-V připojte virtuální rozhraní SPAN k virtuálnímu přepínači, který jste vytvořili dříve.
Pokud používáte PowerShell, definujte název nově přidaného hardwaru adaptéru jako Monitor. Pokud používáte Správce technologie Hyper-V, název nově přidaného hardwaru adaptéru je nastaven na Network Adapterhodnotu .
Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí PowerShellu
Vyberte nově přidaný virtuální přepínač SPAN, který jste nakonfigurovali dříve, a spuštěním následujícího příkazu přidejte nový síťový adaptér:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanPovolte zrcadlení portů pro vybrané rozhraní jako cíl rozsahu pomocí následujícího příkazu:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationKde:
Parametr Popis VK-C1000V-LongRunning-650 Název virtuálního virtuálního počítače CPPM vSwitch_Span Nově přidaný název virtuálního přepínače SPAN Monitorování Nově přidaný název adaptéru Jakmile budete hotovi, vyberte tlačítko OK.
Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí Správce technologie Hyper-V
V seznamu hardwaru Správce technologie Hyper-V vyberte síťový adaptér.
V poli Virtuální přepínač vyberte vSwitch_Span.
V seznamu Hardware v rozevíracím seznamu Síťový adaptér vyberte Hardwarová akcelerace a zrušte zaškrtnutí políčka Fronta virtuálního počítače pro síťové rozhraní monitorování.
V seznamu Hardware v rozevíracím seznamu Síťový adaptér vyberte Pokročilé funkce. V části Zrcadlení portů vyberte Cíl jako režim zrcadlení pro nové virtuální rozhraní.
Vyberte OK.
Zapnutí rozšíření pro zachytávání Microsoft NDIS
Zapněte podporu rozšíření Microsoft NDIS Capture Extensions pro virtuální přepínač, který jste vytvořili dříve.
Povolení rozšíření pro zachytávání Microsoft NDIS pro nový virtuální přepínač:
Na hostiteli Hyper-V otevřete Správce virtuálních přepínačů.
V seznamu Virtuální přepínače rozbalte název
vSwitch_Spanvirtuálního přepínače a vyberte Rozšíření.V poli Přepnout rozšíření vyberte Microsoft NDIS Capture.
Vyberte OK.
Konfigurace režimu zrcadlení přepínače
Nakonfigurujte režim zrcadlení na virtuálním přepínači, který jste vytvořili dříve , aby byl externí port definovaný jako zdroj zrcadlení. To zahrnuje konfiguraci virtuálního přepínače Hyper-V (vSwitch_Span) tak, aby předával veškerý provoz přicházející do externího zdrojového portu do virtuálního síťového adaptéru nakonfigurovaného jako cíl.
Pokud chcete nastavit externí port virtuálního přepínače jako režim zdrojového zrcadlení, spusťte:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Kde:
| Parametr | Popis |
|---|---|
| vSwitch_Span | Název virtuálního přepínače, který jste vytvořili dříve |
| MonitorMode=2 | Source |
| MonitorMode=1 | Cíl |
| MonitorMode=0 | Nic |
Pokud chcete ověřit stav režimu monitorování, spusťte:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parametr | Popis |
|---|---|
| vSwitch_Span | Nově přidaný název virtuálního přepínače SPAN |
Ověření zrcadlení provozu
Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).
Ukázkový soubor PCAP vám pomůže:
- Ověření konfigurace přepínače
- Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
- Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem
K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.
Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.
Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.
Ověřte, že v analyzovaném provozu existují protokoly OT.
Příklad:
