Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
W tym artykule opisano sposób używania trybu Promiscuous w środowisku przełącznika wirtualnego funkcji Hyper-V jako obejścia konfigurowania dublowania ruchu, podobnie jak port SPAN. Port SPAN na przełączniku dubluje ruch lokalny z interfejsów na przełączniku do innego interfejsu na tym samym przełączniku.
Aby uzyskać więcej informacji, zobacz Dublowanie ruchu za pomocą przełączników wirtualnych.
Wymagania wstępne
Przed rozpoczęciem:
Upewnij się, że rozumiesz plan monitorowania sieci za pomocą usługi Defender dla IoT i portów SPAN, które chcesz skonfigurować.
Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.
Upewnij się, że nie ma uruchomionego wystąpienia urządzenia wirtualnego.
Upewnij się, że włączono opcję Upewnij się, że funkcja SPAN jest włączona na porcie danych przełącznika wirtualnego, a nie na porcie zarządzania.
Upewnij się, że konfiguracja protokołu SPAN portu danych nie jest skonfigurowana przy użyciu adresu IP.
Tworzenie nowego przełącznika wirtualnego funkcji Hyper-V w celu przekazywania dublowanego ruchu do maszyny wirtualnej
Tworzenie nowego przełącznika wirtualnego za pomocą programu PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Gdzie:
| Parametr | Opis |
|---|---|
| vSwitch_Span | Nowo dodana nazwa przełącznika wirtualnego SPAN |
| Sieć Ethernet | Nazwa adaptera fizycznego |
Dowiedz się, jak utworzyć i skonfigurować przełącznik wirtualny za pomocą funkcji Hyper-V
Tworzenie nowego przełącznika wirtualnego za pomocą Menedżera funkcji Hyper-V
Otwórz Menedżera przełącznika wirtualnego.
Na liście Przełączniki wirtualne wybierz pozycję Nowy przełącznik>sieci wirtualnej Zewnętrzne jako dedykowany typ dedykowanej karty sieciowej.
Wybierz pozycję Utwórz przełącznik wirtualny.
W obszarze Typ połączenia wybierz pozycję Sieć zewnętrzna i upewnij się, że wybrano opcję Zezwalaj systemowi operacyjnemu zarządzania na udostępnianie tej karty sieciowej. Na przykład:
Wybierz przycisk OK.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego
Użyj programu Windows PowerShell lub Menedżera funkcji Hyper-V, aby dołączyć interfejs wirtualny SPAN do utworzonego wcześniej przełącznika wirtualnego.
Jeśli używasz programu PowerShell, zdefiniuj nazwę nowo dodanego sprzętu adaptera jako Monitor. Jeśli używasz Menedżera funkcji Hyper-V, nazwa nowo dodanego sprzętu karty jest ustawiona na Network Adapter.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą programu PowerShell
Wybierz nowo dodany przełącznik wirtualny SPAN utworzony wcześniej i uruchom następujące polecenie, aby dodać nową kartę sieciową:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanWłącz dublowanie portów dla wybranego interfejsu jako miejsce docelowe span za pomocą następującego polecenia:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationGdzie:
Parametr Opis VK-C1000V-LongRunning-650 Nazwa VA CPPM vSwitch_Span Nowo dodana nazwa przełącznika wirtualnego SPAN Monitorowanie Nowo dodana nazwa karty Po zakończeniu wybierz OK.
Dołączanie interfejsu wirtualnego SPAN do przełącznika wirtualnego za pomocą Menedżera funkcji Hyper-V
Na liście Sprzęt menedżera funkcji Hyper-V wybierz pozycję Karta sieciowa.
W polu Przełącznik wirtualny wybierz pozycję vSwitch_Span.
Na liście sprzętowej na liście rozwijanej Karta sieciowa wybierz pozycję Funkcje zaawansowane. W sekcji Dublowanie portów wybierz pozycję Miejsce docelowe jako tryb dublowania dla nowego interfejsu wirtualnego.
Wybierz przycisk OK.
Włączanie rozszerzeń przechwytywania NDIS firmy Microsoft za pomocą programu PowerShell
Włącz obsługę rozszerzeń przechwytywania NDIS firmy Microsoft dla utworzonego wcześniej przełącznika wirtualnego.
Aby włączyć rozszerzenia przechwytywania NDIS firmy Microsoft dla nowego przełącznika wirtualnego:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Włączanie rozszerzeń przechwytywania NDIS firmy Microsoft za pomocą Menedżera funkcji Hyper-V
Włącz obsługę rozszerzeń przechwytywania NDIS firmy Microsoft dla utworzonego wcześniej przełącznika wirtualnego.
Aby włączyć rozszerzenia przechwytywania NDIS firmy Microsoft dla nowego przełącznika wirtualnego:
Otwórz Menedżera przełącznika wirtualnego na hoście funkcji Hyper-V.
Na liście Przełączniki wirtualne rozwiń nazwę
vSwitch_Spanprzełącznika wirtualnego i wybierz pozycję Rozszerzenia.W polu Przełącz rozszerzenia wybierz pozycję Microsoft NDIS Capture.
Wybierz przycisk OK.
Konfigurowanie trybu dublowania przełącznika
Skonfiguruj tryb dublowania na utworzonym wcześniej przełączniku wirtualnym, tak aby port zewnętrzny był zdefiniowany jako źródło dublowania. Obejmuje to skonfigurowanie przełącznika wirtualnego funkcji Hyper-V (vSwitch_Span) w celu przekazywania dowolnego ruchu przychodzącego do zewnętrznego portu źródłowego do wirtualnej karty sieciowej skonfigurowanej jako miejsce docelowe.
Aby ustawić zewnętrzny port przełącznika wirtualnego jako tryb dublowania źródłowego, uruchom polecenie:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Gdzie:
| Parametr | Opis |
|---|---|
| vSwitch_Span | Nazwa utworzonego wcześniej przełącznika wirtualnego |
| MonitorMode=2 | Źródło |
| MonitorMode=1 | Element docelowy |
| MonitorMode=0 | Brak |
Aby sprawdzić stan trybu monitorowania, uruchom polecenie:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parametr | Opis |
|---|---|
| vSwitch_Span | Nowo dodana nazwa przełącznika wirtualnego SPAN |
Konfigurowanie ustawień sieci VLAN dla karty Monitor (w razie potrzeby)
Jeśli serwer funkcji Hyper-V znajduje się w innej sieci VLAN niż sieć VLAN, z której pochodzi dublowany ruch, ustaw kartę monitora tak, aby akceptowała ruch z dublowanych sieci VLAN.
Użyj tego polecenia programu PowerShell, aby umożliwić adapterowi Monitor akceptowanie monitorowanego ruchu z różnych sieci VLAN:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Gdzie:
| Parametr | Opis |
|---|---|
| VK-C1000V-LongRunning-650 | Nazwa VA CPPM |
| 1010-1020 | Zakres sieci VLAN, z którego jest dublowany ruch IoT |
| 10 | Natywny identyfikator sieci VLAN środowiska |
Dowiedz się więcej o poleceniu cmdlet Set-VMNetworkAdapterVlan PowerShell.
Weryfikowanie dublowania ruchu
Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.
Przykładowy plik PCAP pomoże Ci:
- Weryfikowanie konfiguracji przełącznika
- Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
- Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik
Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.
Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.
Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.
Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.
Na przykład:
