Sdílet prostřednictvím

Konfigurace zrcadlení provozu pomocí přepínače Hyper-V

  • Článek

Tento článek je jedním z řady článků popisujících cestu nasazení pro monitorování OT pomocí Microsoft Defenderu pro IoT.

Diagram indikátoru průběhu se zvýrazněným nasazením na úrovni sítě

Tento článek popisuje, jak používat režim Promiscuous v prostředí Hyper-V Vswitch jako alternativní řešení pro konfiguraci zrcadlení provozu, podobně jako port SPAN. Port SPAN na přepínači zrcadlí místní provoz z rozhraní na přepínači na jiné rozhraní na stejném přepínači.

Další informace naleznete v tématu Zrcadlení provozu s virtuálními přepínači.

Požadavky

Než začnete, potřebujete:

  • Ujistěte se, že rozumíte plánu monitorování sítě pomocí defenderu pro IoT a portů SPAN, které chcete nakonfigurovat.

    Další informace naleznete v tématu Metody zrcadlení provozu pro monitorování OT.

  • Ujistěte se, že není spuštěná žádná instance virtuálního zařízení.

  • Ujistěte se, že jste na datovém portu virtuálního přepínače povolili span, a ne port pro správu.

  • Ujistěte se, že konfigurace span datového portu není nakonfigurovaná s IP adresou.

Vytvoření nového virtuálního přepínače Hyper-V pro přenos zrcadlených přenosů do virtuálního počítače

Vytvoření nového virtuálního přepínače pomocí PowerShellu

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

Kde:

Parametr Popis
vSwitch_Span Nově přidaný název virtuálního přepínače SPAN
Ethernet Název fyzického adaptéru

Zjistěte, jak vytvořit a nakonfigurovat virtuální přepínač pomocí Technologie Hyper-V.

Vytvoření nového virtuálního přepínače pomocí Správce technologie Hyper-V

  1. Otevřete Správce virtuálního přepínače.

  2. V seznamu virtuálních přepínačů vyberte jako typ vyhrazeného rozloženého síťového adaptéru možnost Nový přepínač>virtuální sítě Externí.

    Snímek obrazovky s výběrem nové virtuální sítě a externí před vytvořením virtuálního přepínače

  3. Vyberte Vytvořit virtuální přepínač.

  4. V oblasti Typ připojení vyberte Externí síť a ujistěte se, že je vybraná možnost Povolit operačnímu systému správy sdílet tento síťový adaptér. Příklad:

    Snímek obrazovky s možností Externí síť

  5. Vyberte OK.

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači

Pomocí Windows PowerShellu nebo Správce technologie Hyper-V připojte virtuální rozhraní SPAN k virtuálnímu přepínači, který jste vytvořili dříve.

Pokud používáte PowerShell, definujte název nově přidaného hardwaru adaptéru jako Monitor. Pokud používáte Správce technologie Hyper-V, název nově přidaného hardwaru adaptéru je nastaven na Network Adapterhodnotu .

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí PowerShellu

  1. Vyberte nově přidaný virtuální přepínač SPAN, který jste vytvořili dříve, a spuštěním následujícího příkazu přidejte nový síťový adaptér:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Povolte zrcadlení portů pro vybrané rozhraní jako cíl rozsahu pomocí následujícího příkazu:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Kde:

    Parametr Popis
    VK-C1000V-LongRunning-650 Název virtuálního virtuálního počítače CPPM
    vSwitch_Span Nově přidaný název virtuálního přepínače SPAN
    Monitorování Nově přidaný název adaptéru

  3. Jakmile budete hotovi, vyberte tlačítko OK.

Připojení virtuálního rozhraní SPAN k virtuálnímu přepínači pomocí Správce technologie Hyper-V

  1. V seznamu hardwaru Správce technologie Hyper-V vyberte síťový adaptér.

  2. V poli Virtuální přepínač vyberte vSwitch_Span.

    Snímek obrazovky s výběrem následujících možností na obrazovce virtuálního přepínače

  3. V seznamu Hardware v rozevíracím seznamu Síťový adaptér vyberte Pokročilé funkce. V části Zrcadlení portů vyberte Cíl jako režim zrcadlení pro nové virtuální rozhraní.

    Snímek obrazovky s výběry potřebnými ke konfiguraci režimu zrcadlení

  4. Vyberte OK.

Zapnutí rozšíření pro zachytávání Microsoft NDIS pomocí PowerShellu

Zapněte podporu rozšíření Microsoft NDIS Capture Extensions pro virtuální přepínač, který jste vytvořili dříve.

Povolení rozšíření pro zachytávání Microsoft NDIS pro nový virtuální přepínač:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Zapnutí rozšíření pro zachytávání Microsoft NDIS pomocí Správce technologie Hyper-V

Zapněte podporu rozšíření Microsoft NDIS Capture Extensions pro virtuální přepínač, který jste vytvořili dříve.

Povolení rozšíření pro zachytávání Microsoft NDIS pro nový virtuální přepínač:

  1. Na hostiteli Hyper-V otevřete Správce virtuálních přepínačů.

  2. V seznamu Virtuální přepínače rozbalte název vSwitch_Span virtuálního přepínače a vyberte Rozšíření.

  3. V poli Přepnout rozšíření vyberte Microsoft NDIS Capture.

    Snímek obrazovky s povolením rozhraní Microsoft NDIS tak, že ho vyberete v nabídce přepnout rozšíření

  4. Vyberte OK.

Konfigurace režimu zrcadlení přepínače

Nakonfigurujte režim zrcadlení na virtuálním přepínači, který jste vytvořili dříve , aby byl externí port definovaný jako zdroj zrcadlení. To zahrnuje konfiguraci virtuálního přepínače Hyper-V (vSwitch_Span) tak, aby předával veškerý provoz přicházející do externího zdrojového portu do virtuálního síťového adaptéru nakonfigurovaného jako cíl.

Pokud chcete nastavit externí port virtuálního přepínače jako režim zdrojového zrcadlení, spusťte:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Kde:

Parametr Popis
vSwitch_Span Název virtuálního přepínače, který jste vytvořili dříve
MonitorMode=2 Zdroj
MonitorMode=1 Cíl
MonitorMode=0 Nic

Pokud chcete ověřit stav režimu monitorování, spusťte:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametr Popis
vSwitch_Span Nově přidaný název virtuálního přepínače SPAN

Konfigurace nastavení sítě VLAN pro adaptér monitorování (v případě potřeby)

Pokud je server Hyper-V umístěný v jiné síti VLAN než síť VLAN, ze které pochází zrcadlený provoz, nastavte adaptér monitoru tak, aby přijímal provoz ze zrcadlených sítí VLAN.

Pomocí tohoto příkazu PowerShellu povolte adaptéru monitorování přijímat monitorovaný provoz z různých sítí VLAN:

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

Kde:

Parametr Popis
VK-C1000V-LongRunning-650 Název virtuálního virtuálního počítače CPPM
1010-1020 Rozsah sítě VLAN, od kterého se provoz IoT zrcadlí
10 Nativní ID sítě VLAN prostředí

Přečtěte si další informace o rutině PowerShellu Set-VMNetworkAdapterVlan .

Ověření zrcadlení provozu

Po konfiguraci zrcadlení provozu se pokuste z přepínače SPAN nebo zrcadlového portu přijmout vzorek zaznamenaného provozu (soubor PCAP).

Ukázkový soubor PCAP vám pomůže:

  • Ověření konfigurace přepínače
  • Ověřte, že provoz procházející vaším přepínačem je relevantní pro monitorování.
  • Určení šířky pásma a odhadovaného počtu zařízení zjištěných přepínačem

  1. K zaznamenání ukázkového souboru PCAP několik minut použijte aplikaci analyzátoru síťového protokolu, například Wireshark. Připojte například přenosný počítač k portu, na kterém jste nakonfigurovali monitorování provozu.

  2. Zkontrolujte, jestli jsou pakety jednosměrového vysílání přítomné v záznamovém provozu. Přenosy jednosměrového vysílání se odesílají z adresy do jiné.

    Pokud je většina přenosů zpráv protokolu ARP, konfigurace zrcadlení provozu není správná.

  3. Ověřte, že v analyzovaném provozu existují protokoly OT.

    Příklad:

    Snímek obrazovky s ověřováním Wireshark

Další kroky

« Onboarding snímačů OT do Defenderu pro IoT

Zřizování snímačů OT pro správu cloudu »