リモート SPAN (RSPAN) ポートを使用してトラフィック ミラーリングを構成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。
この記事では、IOS を実行する 24 個のポートを備えた Cisco 2960 スイッチに RSPAN を設定するためのサンプル手順について説明します。
重要
この記事は、あくまでガイダンスであり、手順として使用されることを意図したものではありません。 他の Cisco オペレーティング システムや他のスイッチ ブランドのミラー ポートは、別の方法で構成されています。 詳細については、スイッチのドキュメントを参照してください。
前提条件
開始する前に、Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。
RSPAN には、スイッチ間で監視対象の SPAN トラフィックを伝送するための特定の VLAN が必要です。 開始する前に、スイッチで RSPAN がサポートされていることを確認してください。
スイッチのミラーリング オプションがオフになっていることを確認します。
送信元と送信先スイッチ間のトランク ポートでリモート VLAN が許可されていることを確認します。
同じ RSPAN セッションに接続するすべてのスイッチが同じベンダーからのものであることを確認します。
スイッチ間でリモート VLAN を共有しているトランク ポートが、既にミラー セッションの送信元ポートとして定義されていないことを確認します。
リモート VLAN では、送信元セッションからミラーリングされているトラフィックの量によってトランク ポートの帯域幅が増加します。 スイッチのトランク ポートで帯域幅の増加をサポートできることを確認します。
注意事項
大量のスループットまたは多数のスイッチが原因で帯域幅が増加すると、スイッチに障害が発生し、ネットワーク全体がダウンする可能性があります。 RSPAN を使用してトラフィック ミラーリングを構成する場合は、次の点を考慮してください。
- RSPAN で構成するアクセス/ディストリビューション スイッチの数。
- 各スイッチでのリモート VLAN の関連するスループット。
送信元スイッチを構成する
送信元スイッチで次の手順を実行します。
global configuration
モードに入り、新しい専用の VLAN を作成します。新しい VLAN を RSPAN VLAN として特定し、
configure terminal
モードに戻ります。24 のポートすべてをセッション発信元として構成します。
RSPAN VLAN をセッション発信先として構成します。
特権
EXEC
モードに戻り、ポートのミラーリング構成を確認します。
送信先スイッチを構成する
送信先スイッチで次の手順を実行します。
global configuration
モードに入り、RSPAN VLAN をセッションの送信元として構成します。物理ポート 24 をセッション発信先として構成します。
特権
EXEC
モードに戻り、ポートのミラーリング構成を確認します。構成を保存します。
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。