Configurer la mise en miroir du trafic avec un port SPAN distant (RSPAN)
Cet article fait partie d’une série d’articles décrivant le chemin de déploiement pour la supervision OT avec Microsoft Defender pour IoT.
Cet article décrit un exemple de procédure de configuration de RSPAN sur un commutateur Cisco 2960 avec 24 ports exécutant IOS.
Important
Cet article sert uniquement de guide et non pas d’instructions strictes. Les ports de mise en miroir des autres systèmes d’exploitation Cisco et des autres marques de commutateurs sont configurés différemment. Pour plus d’informations, consultez la documentation de votre commutateur.
Prérequis
Avant de commencer, assurez-vous de bien comprendre votre plan de supervision réseau avec Defender pour IoT et les ports SPAN que vous souhaitez configurer.
Pour plus d’informations, consultez les méthodes de mise en miroir de trafic pour la surveillance OT.
RSPAN nécessite un réseau local virtuel spécifique pour transporter le trafic SPAN surveillé entre les commutateurs. Avant de commencer, assurez-vous que votre commutateur prend en charge RSPAN.
Assurez-vous que l’option de mise en miroir sur votre commutateur est désactivée.
Le VLAN distant doit être autorisé sur le port en mode trunk entre les commutateurs source et destination.
Assurez-vous que tous les commutateurs qui se connectent à la même session RSPAN proviennent du même fournisseur.
Vérifiez que le port trunk qui partage la session VLAN distante entre les commutateurs n’est pas déjà défini comme port source de la session mise en miroir.
Le réseau local virtuel distant augmente la bande passante sur le port relié en fonction de la quantité de trafic en miroir à partir de la session source. Assurez-vous que le port de jonction de votre commutateur peut prendre en charge la bande passante accrue.
Attention
Une bande passante accrue, causée par un important débit ou un grand nombre de commutateurs, peut provoquer l’échec d’un commutateur et, par conséquent, provoquer la chute de l’ensemble du réseau. Lorsque vous configurez la mise en miroir du trafic avec RSPAN, vous devez prendre en compte les éléments suivants :
- Le nombre de commutateurs d’accès/de distribution que vous configurez avec RSPAN.
- Le débit de corrélation pour le VLAN distant sur chaque commutateur.
Configuration du commutateur source
Sur votre commutateur source :
Entrez en mode
global configuration
et créez un réseau local virtuel dédié.Identifiez votre nouveau réseau local virtuel en tant que VLAN RSPAN, puis revenez en mode
configure terminal
.Configurez les 24 ports comme sources de session.
Configurez le VLAN RSPAN comme destination de la session.
Revenez au mode privilégié
EXEC
et vérifiez la configuration de la mise en miroir de ports.
Configuration du commutateur de destination
Sur votre commutateur de destination :
Entrez en mode
global configuration
et configurez le VLAN RSPAN comme source de la session.Configurez le port physique no 24 comme destination de la session.
Revenez au mode privilégié
EXEC
et vérifiez la configuration de la mise en miroir de ports.Enregistrez la configuration.
Valider la mise en miroir du trafic
Après configuration de la mise en miroir du trafic, essayez de recevoir un échantillon du trafic enregistré (fichier PCAP) à partir du port SPAN du commutateur (ou miroir).
Un exemple de fichier PCAP vous aidera à :
- Valider la configuration du commutateur
- Vérifier que le trafic transitant par votre commutateur est pertinent pour la supervision
- Identifier la bande passante et un nombre estimé d’appareils détectés par le commutateur
Utilisez une application d’analyseur de protocole réseau, telle que Wireshark, pour enregistrer un exemple de fichier PCAP pendant quelques minutes. Par exemple, connectez un ordinateur portable à un port où vous avez configuré la supervision du trafic.
Vérifiez que des paquets de monodiffusion sont présents dans le trafic d’enregistrement. Le trafic Unicast est le trafic envoyé d’une adresse à une autre.
Si la majeure partie du trafic est constitué de messages ARP, votre configuration de mise en miroir du trafic n’est pas correcte.
Vérifiez que vos protocoles OT sont présents dans le trafic analysé.
Par exemple :