Поделиться через


Настройка зеркало трафика с помощью VSwitch Hyper-V

Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.

Diagram of a progress bar with Network level deployment highlighted.

В этой статье описывается, как использовать простой режим в среде Vswitch Hyper-V в качестве обходного решения для настройки трафика зеркало, аналогично порту SPAN. Порт SPAN на коммутаторе зеркало локальный трафик из интерфейсов на коммутаторе к другому интерфейсу в том же коммутаторе.

Дополнительные сведения см. в разделе зеркало трафика с виртуальными коммутаторами.

Необходимые компоненты

Перед началом:

  • Убедитесь, что вы понимаете план мониторинга сети с помощью Defender для Интернета вещей и портов SPAN, которые вы хотите настроить.

    Дополнительные сведения см. в разделе "Методы зеркало трафика" для мониторинга OT.

  • Убедитесь, что ни один экземпляр виртуального модуля не запущен.

  • Убедитесь, что вы включили параметр SPAN на порте данных виртуального коммутатора, а не в порте управления.

  • Убедитесь, что конфигурация порта данных SPAN не настроена с IP-адресом.

Настройка порта зеркало трафика с помощью Hyper-V

  1. Откройте диспетчер виртуальных коммутаторов.

  2. В списке "Виртуальные коммутаторы" выберите "Новый коммутатор>виртуальной сети", как выделенный тип сетевого адаптера с выделенным диапазоном.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Выберите элемент Создать виртуальный коммутатор.

  4. В области типа Подключение выберите внешнюю сеть и убедитесь, что выбран параметр "Разрешить управление операционной системой для совместного использования этого сетевого адаптера". Например:

    Screenshot of the External network option.

  5. Нажмите ОК.

Подключение виртуального интерфейса SPAN к виртуальному коммутатору

Используйте диспетчер Windows PowerShell или Hyper-V, чтобы подключить виртуальный интерфейс SPAN к созданному ранее виртуальному коммутатору.

Если вы используете PowerShell, определите имя только что добавленного оборудования адаптера в качестве Monitor. Если вы используете диспетчер Hyper-V, то для нового добавленного оборудования адаптера задано Network Adapterимя.

Присоединение виртуального интерфейса SPAN к виртуальному коммутатору с помощью PowerShell

  1. Выберите только что добавленный виртуальный коммутатор SPAN, который вы настроили ранее, и выполните следующую команду, чтобы добавить новый сетевой адаптер:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Включите зеркальное отображение портов для выбранного интерфейса в качестве назначения SPAN с помощью следующей команды:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Где:

    Параметр Описание
    VK-C1000V-LongRunning-650 Имя виртуального модуля CPPM
    vSwitch_Span Имя добавленного виртуального коммутатора SPAN
    Мониторинг Имя добавленного адаптера
  3. По завершении нажмите кнопку OK.

Присоединение виртуального интерфейса SPAN к виртуальному коммутатору с помощью диспетчера Hyper-V

  1. В списке оборудования диспетчера Hyper-V выберите сетевой адаптер.

  2. В поле "Виртуальный коммутатор" выберите vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. В раскрывающемся списке "Оборудование" в раскрывающемся списке сетевого адаптера выберите аппаратное ускорение и снимите флажок очереди виртуальных машин для сетевого интерфейса мониторинга.

  4. В раскрывающемся списке "Оборудование" в раскрывающемся списке сетевого адаптера выберите дополнительные компоненты. В разделе "Зеркальное отображение портов" выберите "Назначение" в качестве режима зеркало для нового виртуального интерфейса.

    Screenshot of the selections needed to configure mirroring mode.

  5. Нажмите ОК.

Включение расширений отслеживания Microsoft NDIS

Включите поддержку расширений записи Microsoft NDIS для виртуального коммутатора , созданного ранее.

Чтобы включить расширения записи Microsoft NDIS для нового виртуального коммутатора:

  1. Откройте диспетчер виртуальных коммутаторов на узле Hyper-V.

  2. В списке виртуальных коммутаторов разверните имя виртуального коммутатора vSwitch_Span и выберите элемент Расширения.

  3. В поле "Расширения коммутаторов" выберите элемент Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Нажмите ОК.

Настройка режима зеркало переключения

Настройте режим зеркало на виртуальном коммутаторе, созданном ранее, чтобы внешний порт был определен как источник зеркало. Это включает настройку виртуального коммутатора Hyper-V (vSwitch_Span) для пересылки любого трафика, который поступает во внешний исходный порт в виртуальный сетевой адаптер, настроенный в качестве назначения.

Чтобы задать внешний порт виртуального коммутатора в качестве исходного режима зеркало, выполните следующую команду:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Где:

Параметр Описание
vSwitch_Span Имя виртуального коммутатора, созданного ранее
MonitorMode=2 Оригинал
MonitorMode=1 Назначение
MonitorMode=0 нет

Чтобы проверить состояние режима мониторинга, выполните следующую команду:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Параметр Описание
vSwitch_Span Имя добавленного виртуального коммутатора SPAN

Проверка зеркало трафика

После настройки трафика зеркало выполните попытку получить образец записанного трафика (PCAP-файл) из коммутатора или порта зеркало.

Пример PCAP-файла поможет вам:

  • Проверка конфигурации коммутатора
  • Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
  • Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором
  1. Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.

  2. Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.

    Если большая часть трафика — это сообщения ARP, то конфигурация зеркало трафика не является правильной.

  3. Убедитесь, что протоколы OT присутствуют в проанализированном трафике.

    Например:

    Screenshot of Wireshark validation.

Следующие шаги