Konfigurowanie dublowania ruchu ERSPAN (starsza wersja) za pomocą przełącznika Cisco
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
Ten artykuł zawiera ogólne wskazówki dotyczące konfigurowania hermetyzowanego zdalnego analizatora portów (ERSPAN) dublowania ruchu dla przełącznika Cisco.
Zalecamy używanie routera odbierającego jako miejsca docelowego tunelu hermetyzacji ogólnego routingu (GRE).
Wymagania wstępne
Przed rozpoczęciem upewnij się, że rozumiesz plan monitorowania sieci za pomocą usługi Defender dla IoT i portów SPAN, które chcesz skonfigurować.
Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.
Konfigurowanie przełącznika Cisco
Poniższy kod przedstawia przykładowe ifconfig dane wyjściowe dla modułu ERSPAN skonfigurowanego na przełączniku Cisco:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Aby uzyskać więcej informacji, zobacz Dokumentacja poleceń interfejsu wiersza polecenia z czujników sieci OT.
Weryfikowanie dublowania ruchu
Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.
Przykładowy plik PCAP pomoże Ci:
- Weryfikowanie konfiguracji przełącznika
- Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
- Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik
Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.
Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.
Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.
Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.
Na przykład:
Konfigurowanie starszego modułu ERSPAN w interfejsie wiersza polecenia
Ważne
Nie zalecamy używania starszych wersji oprogramowania, ponieważ może to spowodować problemy z zabezpieczeniami systemu. Jeśli nadal używasz starszej wersji, użytkownik musi uruchamiać określone polecenia interfejsu wiersza polecenia omówione w tej sekcji.
Konfigurowanie konfiguracji za pomocą interfejsu wiersza polecenia
Użyj tej procedury, aby skonfigurować następujące początkowe ustawienia konfiguracji za pośrednictwem interfejsu wiersza polecenia:
- Logowanie się do konsoli czujnika i ustawianie nowego hasła użytkownika administratora
- Definiowanie szczegółów sieci dla czujnika
- Definiowanie interfejsów, które chcesz monitorować
Starsza wersja interfejsu wiersza polecenia
Aby skonfigurować starszy interfejs tunelowania ERSPAN w interfejsie wiersza polecenia, należy użyć dostosowanego wiersza kodu. Ten kod gwarantuje, że starsza opcja ERSPAN jest dostępna w kreatorze konfiguracji czujnika interfejsu wiersza polecenia.
Nową starszą wersją ERPSAN można skonfigurować tylko wtedy, gdy masz skonfigurowany istniejący interfejs.
Aby skonfigurować starszy moduł ERSPAN:
Zaloguj się do czujnika przy użyciu interfejsu wiersza polecenia z użytkownikiem cyberx lub administratorem.
Wpisz
ERSPAN=1 python3 -m cyberx.config.configure.
Wybierz pozycję LegacyErspan i przypisz interfejs.
Wybierz pozycję Zapisz.