다음을 통해 공유

Hyper-V vSwitch로 트래픽 미러링 구성

  • 아티클

이 문서는 Microsoft Defender for IoT를 사용한 OT 모니터링의 배포 경로를 설명하는 일련의 문서 중 하나입니다.

네트워크 수준 배포가 강조 표시된 진행률 표시줄의 다이어그램.

이 문서에서는 SPAN 포트와 유사한 트래픽 미러링을 구성하기 위한 해결 방법으로 Hyper-V Vswitch 환경에서 무차별 모드를 사용하는 방법을 설명합니다. 스위치의 SPAN 포트는 스위치의 인터페이스에서 동일한 스위치의 다른 인터페이스로 로컬 트래픽을 미러링합니다.

자세한 내용은 가상 스위치를 사용하여 트래픽 미러링을 참조하세요.

필수 조건

시작하기 전에:

  • Defender for IoT 및 구성하려는 SPAN 포트를 사용하여 네트워크 모니터링 계획을 이해해야 합니다.

    자세한 내용은 OT 모니터링을 위한 트래픽 미러링 방법을 참조하세요.

  • 실행 중인 가상 어플라이언스 인스턴스가 없는지 확인합니다.

  • 관리 포트가 아닌 가상 스위치의 데이터 포트에서 SPAN 사용을 사용하도록 설정했는지 확인합니다.

  • 데이터 포트 SPAN 구성이 IP 주소로 구성되지 않았는지 확인합니다.

미러된 트래픽을 VM으로 릴레이하는 새 Hyper-V 가상 스위치 만들기

PowerShell을 사용하여 새 가상 스위치 만들기

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

여기서

매개 변수 설명
vSwitch_Span 새로 추가된 SPAN 가상 스위치 이름
이더넷 실제 어댑터 이름

Hyper-V를 사용하여 가상 스위치를 만들고 구성하는 방법 알아보기

Hyper-V 관리자를 사용하여 새 가상 스위치 만들기

  1. 가상 스위치 관리자를 엽니다.

  2. 가상 스위치 목록에서 전용 스팬 네트워크 어댑터 유형으로 새 가상 네트워크 스위치>외부를 선택합니다.

    가상 스위치를 만들기 전에 새 가상 네트워크 및 외부를 선택하는 스크린샷

  3. 선택 가상 스위치를 만들합니다.

  4. 연결 형식 영역에서 외부 네트워크를 선택하고 관리 운영 체제에서 이 네트워크 어댑터를 공유하도록 허용 옵션이 선택되어 있는지 확인합니다. 예시:

    외부 네트워크 옵션의 스크린샷.

  5. 확인을 선택합니다.

가상 스위치에 SPAN 가상 인터페이스 연결

Windows PowerShell 또는 Hyper-V 관리자를 사용하여 이전에 만든 가상 스위치에 SPAN 가상 인터페이스를 연결합니다.

PowerShell을 사용하는 경우 새로 추가된 어댑터 하드웨어의 이름을 Monitor로 정의합니다. Hyper-V Manager를 사용하는 경우 새로 추가된 어댑터 하드웨어의 이름은 Network Adapter로 설정됩니다.

PowerShell을 사용하여 SPAN 가상 인터페이스를 가상 스위치에 연결

  1. 이전에 만든 새로 추가된 SPAN 가상 스위치를 선택하고 다음 명령을 실행하여 새 네트워크 어댑터를 추가합니다.

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. 다음 명령을 사용하여 포트 미러링을 SPAN 대상으로 선택한 인터페이스에 사용하도록 설정합니다.

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    여기서,

    매개 변수 설명
    VK-C1000V-LongRunning-650 CPPM VA 이름
    vSwitch_Span 새로 추가된 SPAN 가상 스위치 이름
    모니터 새로 추가된 어댑터 이름

  3. 완료되면 확인을 선택합니다.

Hyper-V 관리자를 사용하여 SPAN 가상 인터페이스를 가상 스위치에 연결

  1. Hyper-V Manager의 하드웨어 목록에서 네트워크 어댑터를 선택합니다.

  2. 가상 스위치 필드에서 vSwitch_Span을 선택합니다.

    가상 스위치 화면에서 다음 옵션을 선택하는 스크린샷

  3. 하드웨어 목록의 네트워크 어댑터 드롭다운 목록 아래에서 고급 기능을 선택합니다. 포트 미러링 섹션에서 새 가상 인터페이스에 대한 미러링 모드로 대상을 선택합니다.

    미러링 모드를 구성하는 데 필요한 선택 항목의 스크린샷

  4. 확인을 선택합니다.

PowerShell을 사용하여 Microsoft NDIS 캡처 확장 켜기

이전에 만든 가상 스위치에 대한 Microsoft NDIS 캡처 확장 지원을 설정합니다.

새 가상 스위치에 대해 Microsoft NDIS 캡처 확장을 사용하도록 설정하려면:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Hyper-V 관리자를 사용하여 Microsoft NDIS 캡처 확장 설정

이전에 만든 가상 스위치에 대한 Microsoft NDIS 캡처 확장 지원을 설정합니다.

새 가상 스위치에 대해 Microsoft NDIS 캡처 확장을 사용하도록 설정하려면:

  1. Hyper-V 호스트에서 가상 스위치 관리자를 엽니다.

  2. 가상 스위치 목록에서 vSwitch_Span이라는 가상 스위치 이름을 펼치고, 확장을 선택합니다.

  3. 스위치 확장 필드에서 Microsoft NDIS 캡처를 선택합니다.

    스위치 확장 메뉴에서 Microsoft NDIS를 선택하여 사용하도록 설정하는 스크린샷

  4. 확인을 선택합니다.

스위치의 미러링 모드 구성

외부 포트가 미러링 원본으로 정의되도록 이전에 만든 가상 스위치에서 미러링 모드를 구성합니다. 여기에는 외부 원본 포트로 들어오는 모든 트래픽을 대상으로 구성된 가상 네트워크 어댑터로 전달하도록 Hyper-V 가상 스위치(vSwitch_Span)를 설정하는 것이 포함됩니다.

가상 스위치의 외부 포트를 원본 미러 모드로 설정하려면 다음을 실행합니다.

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

여기서,

매개 변수 설명
vSwitch_Span 이전에 만든 가상 스위치 의 이름
MonitorMode=2 원본
MonitorMode=1 대상
MonitorMode=0 없음

모니터링 모드 상태를 확인하려면 다음을 실행합니다.

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
매개 변수 설명
vSwitch_Span 새로 추가된 SPAN 가상 스위치 이름

모니터 어댑터에 대한 VLAN 설정 구성(필요한 경우)

Hyper-V 서버가 미러된 트래픽이 시작되는 VLAN과 다른 VLAN에 있는 경우 미러된 VLAN의 트래픽을 허용하도록 모니터 어댑터를 설정합니다.

이 PowerShell 명령을 사용하여 모니터 어댑터가 다른 VLAN에서 모니터링되는 트래픽을 수락할 수 있도록 합니다.

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

여기서

매개 변수 설명
VK-C1000V-LongRunning-650 CPPM VA 이름
1010-1020 IoT 트래픽이 미러되는 VLAN 범위
10 환경의 네이티브 VLAN ID

Set-VMNetworkAdapterVlan PowerShell cmdlet에 대해 자세히 알아봅니다.

트래픽 미러링 유효성 검사

트래픽 미러링을 구성한 후 스위치 SPAN 또는 미러 포트에서 기록된 트래픽 샘플(PCAP 파일)을 수신해 봅니다.

샘플 PCAP 파일은 다음을 수행하는 데 도움이 됩니다.

  • 스위치 구성의 유효성 검사
  • 스위치를 통과하는 트래픽이 모니터링과 관련 있는지 확인
  • 스위치에서 검색된 대역폭 및 예상 디바이스 수 식별

  1. Wireshark 같은 네트워크 프로토콜 분석기 애플리케이션을 사용하여 몇 분 동안 샘플 PCAP 파일을 기록합니다. 예를 들어 트래픽 모니터링을 구성한 포트에 노트북을 연결합니다.

  2. 유니캐스트 패킷이 기록 트래픽에 있는지 확인합니다. 유니캐스트 트래픽은 주소에서 다른 주소로 전송되는 트래픽입니다.

    대부분의 트래픽이 ARP 메시지인 경우 트래픽 미러링 구성이 올바르지 않습니다.

  3. OT 프로토콜이 분석된 트래픽에 있는지 확인합니다.

    예시:

    Wireshark 유효성 검사의 스크린샷.

다음 단계

« Defender for IoT에 OT 센서 온보딩

클라우드 관리를 위한 OT 센서 프로비전 »