Cisco 스위치를 사용하여 ERSPAN(레거시) 트래픽 미러링 구성
이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.
이 문서에서는 Cisco 스위치에 대해 ERSPAN(캡슐화된 원격 전환 포트 분석기) 트래픽 미러링을 구성하기 위한 개략적인 지침을 제공합니다.
수신 라우터를 GRE(Generic Routing Encapsulation) 터널 대상으로 사용하는 것이 좋습니다.
필수 조건
시작하기 전에 Defender for IoT 및 구성하려는 SPAN 포트를 사용하여 네트워크 모니터링 계획을 이해해야 합니다.
자세한 내용은 OT 모니터링을 위한 트래픽 미러링 방법을 참조하세요.
Cisco 스위치 구성
다음 코드는 Cisco 스위치에 구성된 ERSPAN에 대한 샘플 ifconfig 출력을 보여 줍니다.
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
자세한 내용은 OT 네트워크 센서의 CLI 명령 참조를 참조하세요.
트래픽 미러링 유효성 검사
트래픽 미러링을 구성한 후 스위치 SPAN 또는 미러 포트에서 기록된 트래픽 샘플(PCAP 파일)을 수신해 봅니다.
샘플 PCAP 파일은 다음을 수행하는 데 도움이 됩니다.
- 스위치 구성의 유효성 검사
- 스위치를 통과하는 트래픽이 모니터링과 관련 있는지 확인
- 스위치에서 검색된 대역폭 및 예상 디바이스 수 식별
Wireshark 같은 네트워크 프로토콜 분석기 애플리케이션을 사용하여 몇 분 동안 샘플 PCAP 파일을 기록합니다. 예를 들어 트래픽 모니터링을 구성한 포트에 노트북을 연결합니다.
유니캐스트 패킷이 기록 트래픽에 있는지 확인합니다. 유니캐스트 트래픽은 주소에서 다른 주소로 전송되는 트래픽입니다.
대부분의 트래픽이 ARP 메시지인 경우 트래픽 미러링 구성이 올바르지 않습니다.
OT 프로토콜이 분석된 트래픽에 있는지 확인합니다.
예시:
CLI에서 레거시 ERSPAN 구성
Important
시스템에 보안 문제가 발생할 수 있으므로 레거시 버전의 소프트웨어를 사용하지 않는 것이 좋습니다. 레거시 버전을 계속 사용하는 경우 사용자는 이 섹션에서 설명하는 특정 CLI 명령을 실행해야 합니다.
CLI를 통해 설정 구성
이 절차를 사용하여 CLI를 통해 다음 초기 설치 설정을 구성합니다.
- 센서 콘솔에 로그인하고 새 관리자 사용자 암호 설정
- 센서에 대한 네트워크 세부 정보 정의
- 모니터링할 인터페이스 정의
CLI 레거시
CLI에서 레거시 ERSPAN 터널링 인터페이스를 구성하려면 적응된 코드 줄을 사용해야 합니다. 이 코드는 CLI 센서 구성 마법사에서 레거시 ERSPAN 옵션을 사용할 수 있도록 합니다.
새 레거시 ERPSAN은 기존 인터페이스가 구성된 경우에만 구성할 수 있습니다.
레거시 ERSPAN을 구성하려면 다음을 수행합니다.
cyberx 또는 관리 사용자와 함께 CLI 인터페이스를 사용하여 센서에 로그인합니다.
ERSPAN=1 python3 -m cyberx.config.configure.
LegacyErspan을 선택하고 인터페이스를 할당합니다.
저장을 선택합니다.