Настройка зеркального отображения трафика с помощью vSwitch Hyper-V
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей.
В этой статье описывается использование простого режима в среде Vswitch Hyper-V в качестве обходного решения для настройки зеркального отображения трафика, аналогичного порту SPAN. Порт SPAN на коммутаторе зеркально отражает локальный трафик из интерфейсов на коммутаторе на другой интерфейс в том же коммутаторе.
Дополнительные сведения см. в разделе "Зеркальное отображение трафика" с виртуальными коммутаторами.
Необходимые компоненты
Перед началом:
Убедитесь, что вы понимаете план мониторинга сети с помощью Defender для Интернета вещей и портов SPAN, которые вы хотите настроить.
Дополнительные сведения см. в разделе "Методы зеркального отображения трафика" для мониторинга OT.
Убедитесь, что ни один экземпляр виртуального модуля не запущен.
Убедитесь, что вы включили параметр SPAN на порте данных виртуального коммутатора, а не в порте управления.
Убедитесь, что конфигурация порта данных SPAN не настроена с IP-адресом.
Создание виртуального коммутатора Hyper-V для ретрансляции зеркального трафика на виртуальную машину
Создание нового виртуального коммутатора с помощью PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Где:
| Параметр | Описание |
|---|---|
| vSwitch_Span | Имя добавленного виртуального коммутатора SPAN |
| Ethernet | Имя физического адаптера |
Узнайте, как создать и настроить виртуальный коммутатор с помощью Hyper-V
Создание нового виртуального коммутатора с помощью диспетчера Hyper-V
Откройте диспетчер виртуальных коммутаторов.
В списке "Виртуальные коммутаторы" выберите "Новый коммутатор>виртуальной сети", как выделенный тип сетевого адаптера с выделенным диапазоном.
Выберите элемент Создать виртуальный коммутатор.
В области "Тип подключения" выберите внешнюю сеть и убедитесь, что выбран параметр "Разрешить управление операционной системой для общего доступа к этому сетевому адаптеру". Например:
Нажмите ОК.
Подключение виртуального интерфейса SPAN к виртуальному коммутатору
Используйте диспетчер Windows PowerShell или Hyper-V, чтобы подключить виртуальный интерфейс SPAN к созданному ранее виртуальному коммутатору.
Если вы используете PowerShell, определите имя только что добавленного оборудования адаптера в качестве Monitor. Если вы используете диспетчер Hyper-V, то для нового добавленного оборудования адаптера задано Network Adapterимя.
Присоединение виртуального интерфейса SPAN к виртуальному коммутатору с помощью PowerShell
Выберите только что добавленный виртуальный коммутатор SPAN, созданный ранее, и выполните следующую команду, чтобы добавить новый сетевой адаптер:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanВключите зеркальное отображение портов для выбранного интерфейса в качестве назначения SPAN с помощью следующей команды:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationГде:
Параметр Описание VK-C1000V-LongRunning-650 Имя виртуального модуля CPPM vSwitch_Span Имя добавленного виртуального коммутатора SPAN Мониторинг Имя добавленного адаптера По завершении нажмите кнопку OK.
Присоединение виртуального интерфейса SPAN к виртуальному коммутатору с помощью диспетчера Hyper-V
В списке оборудования диспетчера Hyper-V выберите сетевой адаптер.
В поле "Виртуальный коммутатор" выберите vSwitch_Span.
В раскрывающемся списке "Оборудование" в раскрывающемся списке сетевого адаптера выберите дополнительные компоненты. В разделе "Зеркальное отображение портов" выберите "Назначение" в качестве режима зеркального отображения для нового виртуального интерфейса.
Нажмите ОК.
Включение расширений отслеживания Microsoft NDIS с помощью PowerShell
Включите поддержку расширений отслеживания Microsoft NDIS для виртуального коммутатора, созданного ранее.
Чтобы включить расширения записи Microsoft NDIS для нового виртуального коммутатора:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Включение расширений записи Microsoft NDIS с помощью диспетчера Hyper-V
Включите поддержку расширений отслеживания Microsoft NDIS для виртуального коммутатора, созданного ранее.
Чтобы включить расширения записи Microsoft NDIS для нового виртуального коммутатора:
Откройте диспетчер виртуальных коммутаторов на узле Hyper-V.
В списке виртуальных коммутаторов разверните имя виртуального коммутатора
vSwitch_Spanи выберите элемент Расширения.В поле "Расширения коммутаторов" выберите элемент Microsoft NDIS Capture.
Нажмите ОК.
Настройка режима зеркального отображения коммутатора
Настройте режим зеркального отображения на виртуальном коммутаторе , созданном ранее , чтобы внешний порт был определен как источник зеркального отображения. Это включает настройку виртуального коммутатора Hyper-V (vSwitch_Span) для пересылки любого трафика, который поступает во внешний исходный порт в виртуальный сетевой адаптер, настроенный в качестве назначения.
Чтобы задать внешний порт виртуального коммутатора в качестве исходного зеркального режима, выполните следующую команду:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Где:
| Параметр | Описание |
|---|---|
| vSwitch_Span | Имя созданного ранее виртуального коммутатора |
| MonitorMode=2 | Исходный код |
| MonitorMode=1 | Назначение |
| MonitorMode=0 | нет |
Чтобы проверить состояние режима мониторинга, выполните следующую команду:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Параметр | Описание |
|---|---|
| vSwitch_Span | Имя добавленного виртуального коммутатора SPAN |
Настройка параметров виртуальной локальной сети для адаптера монитора (при необходимости)
Если сервер Hyper-V находится в другой виртуальной локальной сети, отличной от виртуальной локальной сети, из которой возникает зеркальный трафик, установите адаптер Монитора для приема трафика из зеркальных виртуальных СЕТЕЙ.
Эта команда PowerShell позволяет адаптеру Monitor принимать отслеживаемый трафик из разных виртуальных ЛС:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Где:
| Параметр | Описание |
|---|---|
| VK-C1000V-LongRunning-650 | Имя виртуального модуля CPPM |
| 1010-1020 | Диапазон VLAN, от которого отражается трафик Интернета вещей |
| 10 | Собственный идентификатор виртуальной локальной сети среды |
Дополнительные сведения о командлете Set-VMNetworkAdapterVlan PowerShell.
Проверка зеркального отображения трафика
После настройки зеркального отображения трафика сделайте попытку получить образец записанного трафика (PCAP-файл) из коммутатора ИЛИ зеркального порта.
Пример PCAP-файла поможет вам:
- Проверка конфигурации коммутатора
- Убедитесь, что трафик, проходящий через коммутатор, относится к мониторингу
- Определение пропускной способности и предполагаемое количество устройств, обнаруженных коммутатором
Используйте приложение анализатора сетевого протокола, например Wireshark, для записи примера PCAP-файла в течение нескольких минут. Например, подключите ноутбук к порту, где вы настроили мониторинг трафика.
Проверьте, имеются ли в записи трафика одноадресные пакеты. Одноадресный трафик — это трафик, отправляемый из адреса в другой.
Если большая часть трафика — это сообщения ARP, конфигурация зеркального отображения трафика не правильна.
Убедитесь, что протоколы OT присутствуют в проанализированном трафике.
Например:
