Partilhar via

Configurar o espelhamento de tráfego com um ESXi vSwitch

  • Artigo

Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.

Diagram of a progress bar with Network level deployment highlighted.

Este artigo descreve como usar o modo promíscuo em um ambiente ESXi vSwitch como uma solução alternativa para configurar o espelhamento de tráfego, semelhante a uma porta SPAN. Uma porta SPAN no switch espelha o tráfego local das interfaces no switch para uma interface diferente no mesmo switch.

Para obter mais informações, consulte Espelhamento de tráfego com comutadores virtuais.

Pré-requisitos

Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender for IoT e as portas SPAN que deseja configurar.

Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.

Configurar uma interface de monitoramento usando o modo promíscuo

Para configurar uma interface de monitoramento com o modo Promíscuo em um ESXi v-Switch:

  1. Abra a página de propriedades do vSwitch e selecione Adicionar comutador virtual padrão.

  2. Insira SPAN Network como o rótulo de rede.

  3. No campo MTU, digite 4096.

  4. Selecione Segurança e verifique se a política do Modo Promíscuo está definida como Modo de aceitação.

  5. Selecione Adicionar para fechar as propriedades do vSwitch.

  6. Realce o vSwitch que você acabou de criar e selecione Adicionar uplink.

  7. Selecione a NIC física que você usará para o tráfego SPAN, altere a MTU para 4096 e selecione Salvar.

  8. Abra a página de propriedades do Grupo de Portas e selecione Adicionar Grupo de Portas.

  9. Digite SPAN Port Group como o nome, digite 4095 como o ID da VLAN, selecione Rede SPAN na lista suspensa vSwitch e selecione Adicionar.

  10. Abra as propriedades da VM do Sensor OT.

  11. Para Adaptador de rede 2, selecione a rede SPAN .

  12. Selecione OK.

  13. Conecte-se ao sensor e verifique se o espelhamento funciona.

Validar o espelhamento de tráfego

Depois de configurar o espelhamento de tráfego, tente receber uma amostra de tráfego gravado (arquivo PCAP) do SPAN do switch ou da porta espelhada.

Um arquivo PCAP de exemplo irá ajudá-lo a:

  • Validar a configuração do switch
  • Confirme se o tráfego que passa pelo seu comutador é relevante para a monitorização
  • Identificar a largura de banda e um número estimado de dispositivos detetados pelo switch

  1. Use um aplicativo analisador de protocolo de rede, como o Wireshark, para gravar um arquivo PCAP de amostra por alguns minutos. Por exemplo, conecte um laptop a uma porta onde você configurou o monitoramento de tráfego.

  2. Verifique se os pacotes Unicast estão presentes no tráfego de gravação. Tráfego unicast é o tráfego enviado de endereço para outro.

    Se a maior parte do tráfego for de mensagens ARP, sua configuração de espelhamento de tráfego não está correta.

  3. Verifique se seus protocolos OT estão presentes no tráfego analisado.

    Por exemplo:

    Screenshot of Wireshark validation.

Próximos passos

« Sensores OT integrados para Defender for IoT

Provisionar sensores OT para gerenciamento de nuvem »