Configuración de la creación de reflejo del tráfico con un conmutador virtual de ESXi
Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.
En este artículo se describe cómo usar el modo Promiscuo en un entorno ESXi vSwitch como una solución para configurar la duplicación de tráfico, similar a un puerto SPAN. Un puerto SPAN del conmutador refleja el tráfico local desde las interfaces del conmutador a una interfaz diferente en el mismo conmutador.
Para obtener más información, consulte Creación de reflejo del tráfico con conmutadores virtuales.
Requisitos previos
Antes de empezar, asegúrese de comprender el plan de supervisión de red con Defender para IoT y qué puertos SPAN desea configurar.
Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.
Configuración de una interfaz de supervisión mediante el modo Promiscuo
Para configurar una interfaz de supervisión con el modo Promiscuo en un conmutador virtual de ESXi:
Abra la página de propiedades de vSwitch y seleccione Agregar conmutador virtual estándar.
Escriba Red SPAN como etiqueta de red.
En el campo MTU, escriba 4096.
Seleccione Security (seguridad) y compruebe que la directiva Promiscuous Mode (modo promiscuo) esté establecida en el modo Accept (aceptar).
Seleccione Agregar para cerrar las propiedades del conmutador virtual.
Resalte el vSwitch que acaba de crear y seleccione Agregar vínculo superior.
Seleccione la NIC física que usará para el tráfico SPAN, cambie el MTU a 4096 y, a continuación, seleccione Guardar.
Abra la página de propiedades Grupo de puertos y seleccione Agregar grupo de puertos.
Introduzca Grupo de puertos SPAN como nombre, introduzca 4095 como id. de VLAN y seleccione Red SPAN en la lista desplegable de vSwitch y, a continuación, seleccione Agregar.
Abra las propiedades de la Máquina virtual del sensor de red de OT.
En Network Adapter 2 (adaptador de red 2), seleccione la red SPAN.
Seleccione Aceptar.
Conéctese al sensor y compruebe que la solución de creación de reflejo funcione.
Validar la creación de reflejo del tráfico
Después de configurar la creación de reflejo del tráfico, intente recibir un ejemplo de tráfico grabado (archivo PCAP) desde el puerto SPAN o reflejo del conmutador.
Un archivo PCAP de ejemplo le ayudará a:
- Validar la configuración del conmutador
- Confirmar que el tráfico que pasa por el conmutador es relevante para la supervisión
- Identificar el ancho de banda y una cantidad estimada de dispositivos detectados por el conmutador
Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un portátil a un puerto en el que haya configurado la supervisión del tráfico.
Compruebe que los paquetes de unidifusión estén presentes en el tráfico de la grabación. El tráfico de unidifusión es el que se envía de una dirección a otra.
Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.
Compruebe que los protocolos de OT estén presentes en el tráfico analizado.
Por ejemplo: