Настройка зеркального отображения трафика ERSPAN (устаревшая версия) с помощью коммутатора Cisco
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
В этой статье содержатся общие рекомендации по настройке инкапсулированного удаленного анализатора портов (ERSPAN) зеркального отображения трафика для коммутатора Cisco.
Мы рекомендуем использовать ваш получатель маршрутизатора в качестве инкапсуляции универсальной маршрутизации (GRE) туннеля.
Необходимые компоненты
Перед началом работы убедитесь, что вы понимаете план мониторинга сети с помощью Defender для Интернета вещей и порты SPAN, которые необходимо настроить.
Дополнительные сведения см. в разделе "Методы зеркального отображения трафика" для мониторинга OT.
Настройка коммутатора Cisco
В следующем коде показан пример ifconfig выходных данных для ERSPAN, настроенных на коммутаторе Cisco:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
Дополнительные сведения см . в справочнике по команде CLI из сетевых датчиков OT.
Проверка зеркального отображения трафика
После настройки зеркального отображения трафика сделайте попытку получить образец записанного трафика (PCAP-файл) из коммутатора ИЛИ зеркального порта.
Пример PCAP-файла поможет вам:
- Проверка конфигурации коммутатора
- Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
- Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором
Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.
Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.
Если большая часть трафика — это сообщения ARP, конфигурация зеркального отображения трафика не правильна.
Убедитесь, что протоколы OT присутствуют в проанализированном трафике.
Например:
Настройка устаревшей версии ERSPAN в CLI
Внимание
Мы не рекомендуем использовать устаревшие версии программного обеспечения, так как это может привести к проблемам безопасности для вашей системы. Если вы по-прежнему используете устаревшую версию, пользователь должен выполнить определенные команды CLI, рассмотренные в этом разделе.
Настройка настройки с помощью интерфейса командной строки
Используйте эту процедуру для настройки следующих начальных параметров установки с помощью интерфейса командной строки:
- Вход в консоль датчика и настройка нового пароля пользователя администратора
- Определение сведений о сети для датчика
- Определение интерфейсов, которые требуется отслеживать
Устаревшая версия интерфейса командной строки
Чтобы настроить устаревший интерфейс туннелирования ERSPAN в интерфейсе командной строки, необходимо использовать адаптированную строку кода. Этот код гарантирует, что устаревший параметр ERSPAN доступен в мастере настройки датчика CLI.
Новый устаревший ERPSAN можно настроить только в том случае, если у вас есть существующий интерфейс.
Чтобы настроить устаревшую версию ERSPAN, выполните следующие действия.
Войдите в датчик с помощью интерфейса командной строки с киберксом или пользователем администратора.
Введите
ERSPAN=1 python3 -m cyberx.config.configure.
Выберите LegacyErspan и назначьте интерфейс.
Выберите Сохранить.