Configurare il mirroring del traffico con un vSwitch Hyper-V
Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.
Questo articolo descrive come usare la modalità Promiscuous in un ambiente Vswitch Hyper-V come soluzione alternativa per la configurazione del mirroring del traffico, simile a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.
Per altre informazioni, vedere Mirroring del traffico con commutatori virtuali.
Prerequisiti
Prima di iniziare:
Assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.
Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.
Assicurarsi che non sia in esecuzione alcuna istanza di un'appliance virtuale.
Assicurarsi di aver abilitato l'opzione Span sulla porta dati del commutatore virtuale e non sulla porta di gestione.
Assicurarsi che la configurazione SPAN della porta dati non sia configurata con un indirizzo IP.
Creare un nuovo commutatore virtuale Hyper-V per inoltrare il traffico con mirroring nella macchina virtuale
Creare un nuovo commutatore virtuale con PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Dove:
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale SPAN appena aggiunto |
| Ethernet | Nome adattatore fisico |
Informazioni su come creare e configurare un commutatore virtuale con Hyper-V
Creare un nuovo commutatore virtuale con La console di gestione di Hyper-V
Aprire Gestione commutatori virtuali.
Nell'elenco Commutatori virtuali selezionare Nuovo commutatore di rete virtuale Esterno> come tipo di scheda di rete estesa dedicata.
Selezionare Crea commutatore virtuale.
Nell'area Tipo di connessione selezionare Rete esterna e assicurarsi che l'opzione Consenti al sistema operativo di gestione di condividere questa scheda di rete sia selezionata. Ad esempio:
Seleziona OK.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale
Usare Windows PowerShell o la console di gestione di Hyper-V per collegare un'interfaccia virtuale SPAN al commutatore virtuale creato in precedenza.
Se si usa PowerShell, definire il nome dell'hardware dell'adattatore appena aggiunto come Monitor. Se si usa la console di gestione di Hyper-V, il nome dell'hardware della scheda appena aggiunto è impostato su Network Adapter.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale con PowerShell
Selezionare il commutatore virtuale SPAN appena aggiunto creato in precedenza ed eseguire il comando seguente per aggiungere una nuova scheda di rete:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanAbilitare il mirroring delle porte per l'interfaccia selezionata come destinazione span con il comando seguente:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationDove:
Parametro Descrizione VK-C1000V-LongRunning-650 CPPM VA name (Nome va CPPM) vSwitch_Span Nome del commutatore virtuale SPAN appena aggiunto Monitoraggio Nome dell'adattatore appena aggiunto Al termine, seleziona OK.
Collegare un'interfaccia virtuale SPAN al commutatore virtuale con la console di gestione di Hyper-V
Nell'elenco Hardware della console di gestione di Hyper-V selezionare Scheda di rete.
Nel campo Commutatore virtuale selezionare vSwitch_Span.
Nell'elenco a discesa Scheda di rete dell'elenco a discesa Hardware selezionare Funzionalità avanzate. Nella sezione Mirroring delle porte selezionare Destinazione come modalità di mirroring per la nuova interfaccia virtuale.
Seleziona OK.
Attivare le estensioni di acquisizione di Microsoft NDIS con PowerShell
Attivare il supporto per le estensioni di acquisizione di Microsoft NDIS per il commutatore virtuale creato in precedenza.
Per abilitare le estensioni di acquisizione di Microsoft NDIS per il nuovo commutatore virtuale:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Attivare le estensioni di acquisizione di Microsoft NDIS con La console di gestione di Hyper-V
Attivare il supporto per le estensioni di acquisizione di Microsoft NDIS per il commutatore virtuale creato in precedenza.
Per abilitare le estensioni di acquisizione di Microsoft NDIS per il nuovo commutatore virtuale:
Aprire Virtual Switch Manager nell'host Hyper-V.
Nell'elenco Commutatori virtuali espandere il nome
vSwitch_Spandel commutatore virtuale e selezionare Estensioni.Nel campo Switch Extensions (Estensioni switch) selezionare Microsoft NDIS Capture (Acquisizione NDIS Microsoft).
Seleziona OK.
Configurare la modalità di mirroring dell'opzione
Configurare la modalità di mirroring sul commutatore virtuale creato in precedenza in modo che la porta esterna sia definita come origine del mirroring. Ciò include la configurazione del commutatore virtuale Hyper-V (vSwitch_Span) per inoltrare qualsiasi traffico proveniente dalla porta di origine esterna a una scheda di rete virtuale configurata come destinazione.
Per impostare la porta esterna del commutatore virtuale come modalità mirror di origine, eseguire:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Dove:
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale creato in precedenza |
| MonitorMode=2 | Origine |
| MonitorMode=1 | Destinazione |
| MonitorMode=0 | None |
Per verificare lo stato della modalità di monitoraggio, eseguire:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parametro | Descrizione |
|---|---|
| vSwitch_Span | Nome del commutatore virtuale SPAN appena aggiunto |
Configurare le impostazioni VLAN per l'adapter di monitoraggio (se necessario)
Se il server Hyper-V si trova in una VLAN diversa rispetto alla VLAN da cui ha origine il traffico con mirroring, impostare l'adattatore Monitoraggio per accettare il traffico dalle VLAN con mirroring.
Usare questo comando di PowerShell per consentire all'adattatore Monitoraggio di accettare il traffico monitorato da VLAN diverse:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Dove:
| Parametro | Descrizione |
|---|---|
| VK-C1000V-LongRunning-650 | CPPM VA name (Nome va CPPM) |
| 1010-1020 | Intervallo di VLAN dal quale viene eseguito il mirroring del traffico IoT |
| 10 | ID VLAN nativo dell'ambiente |
Altre informazioni sul cmdlet PowerShell Set-VMNetworkAdapterVlan .
Convalidare il mirroring del traffico
Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dal commutatore SPAN o dalla porta di mirroring.
Un file PCAP di esempio consente di:
- Convalidare la configurazione del commutatore
- Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
- Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
Usare un'applicazione di analisi di protocolli di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.
Verificare che nel traffico di registrazione siano presenti pacchetti Unicast. Il traffico Unicast è il traffico inviato da un indirizzo a un altro.
Se la maggior parte del traffico è costituita da messaggi ARP, la configurazione del mirroring del traffico non è corretta.
Verificare che i protocolli OT siano presenti nel traffico analizzato.
Ad esempio:
