Обзор зеркального отображения трафика
Эта статья содержит одну из нескольких статей, описывающих путь развертывания для мониторинга OT с помощью Microsoft Defender для Интернета вещей и содержит общие сведения о процедурах настройки зеркального отображения трафика в сети.
Необходимые компоненты
Перед настройкой зеркального отображения трафика убедитесь, что вы выбрали расположения датчиков и метод зеркального отображения трафика.
Расположение датчика
Определите лучшее расположение для размещения датчика в сети, для мониторинга сетевого трафика и обеспечения оптимального значения обнаружения и безопасности. Расположение должно предоставить датчику доступ к следующим трем важным типам сетевого трафика:
| Тип | Описание |
|---|---|
| Трафик уровня 2 (L2) | Трафик L2, включающий такие протоколы, как ARP и DHCP, является критическим индикатором размещения датчика. Доступ к трафику L2 также означает, что датчик может собирать точные и ценные данные о устройствах сети. При правильном расположении датчика он точно фиксирует MAC-адреса устройств. Эта важная информация предоставляет индикаторы поставщика, что повышает способность датчика классифицировать устройства. |
| Протоколы OT | Протоколы OT необходимы для извлечения подробных сведений об устройствах в сети. Эти протоколы предоставляют важные данные, которые приводят к точной классификации устройств. Анализируя трафик протокола OT, датчик может собирать подробные сведения о каждом устройстве, например о его модели, версии встроенного ПО и других соответствующих характеристиках. Этот уровень детализации необходим для обеспечения точной и актуальной инвентаризации всех устройств, что имеет решающее значение для управления сетями и безопасности. |
| Взаимодействие с внутренней подсетью | Устройства сетей OT взаимодействуют в подсети, а сведения, найденные внутри внутренней подсети, обеспечивают качество данных, собранных датчиками. Датчики размещаются там, где они имеют доступ к внутренней связи подсети, чтобы отслеживать взаимодействие устройств, которые часто включают критически важные данные. Записывая эти пакеты данных, датчики создают подробную и точную картину сети. |
Дополнительные сведения см. в разделе о размещении датчиков OT в сети.
Методы зеркалирования трафика
Существует три типа методов зеркального отображения трафика, предназначенных для конкретных сценариев использования. Выберите лучший метод на основе использования и размера сети.
| Тип зеркального отображения | Переключение анализатора портов (SPAN) | Удаленный SPAN (RSPAN) | Инкапсулированный удаленный диапазон (ERSPAN) |
|---|---|---|---|
| Сценарий использования | Идеально подходит для мониторинга и анализа трафика в одном коммутаторе или небольшом сетевом сегменте. | Подходит для больших сетей или сценариев, когда трафик необходимо отслеживать в разных сегментах сети. | Идеально подходит для мониторинга трафика по различным или географически распределенным сетям, включая удаленные сайты. |
| Description | SPAN — это локальный метод зеркального отображения трафика, используемый в одном коммутаторе или стеке коммутаторов. Это позволяет администраторам сети дублировать трафик из указанных исходных портов или виртуальных ЛС в конечный порт, где подключено устройство мониторинга, например сетевой датчик или анализатор. | RSPAN расширяет возможности SPAN, позволяя зеркально отображать трафик через несколько коммутаторов. Он предназначен для сред, в которых мониторинг должен выполняться по разным коммутаторам или стекам коммутаторов. | ERSPAN делает RSPAN еще дальше, инкапсулируя зеркальный трафик в пакетах инкапсуляции универсальной маршрутизации (GRE). Этот метод обеспечивает зеркальное отображение трафика в разных сегментах сети или даже через Интернет. |
| Настройка зеркального отображения | - Исходные порты или виртуальные локальные сети: настройте переключатель для зеркального трафика из выбранных портов или виртуальных ЛС. - Порт назначения: зеркальный трафик отправляется в назначенный порт на том же коммутаторе. Этот порт подключен к устройству мониторинга. |
- Исходные порты или виртуальные локальные сети: трафик отражается из указанных исходных портов или виртуальных ЛС на исходном коммутаторе. - Виртуальная локальная сеть RSPAN: зеркальный трафик отправляется в специальную виртуальную локальную сеть RSPAN, которая охватывает несколько коммутаторов. - Порт назначения. Затем трафик извлекается из этой виртуальной локальной сети RSPAN на указанном порту на удаленном коммутаторе, где подключено устройство мониторинга. |
- Исходные порты и виртуальные локальные сети: аналогично SPAN и RSPAN, трафик отражается из указанных исходных портов или виртуальных ЛС. - Инкапсуляция: зеркальный трафик инкапсулируется в пакеты GRE, которые затем могут быть перенаправлены по IP-сетям. - Порт назначения: инкапсулированный трафик отправляется на устройство мониторинга, подключенное к целевому порту, где пакеты GRE декапсулируются и анализируются. |
| Льготы | — Простота: легко настроить и управлять ими. — Низкая задержка: так как она ограничена одним коммутатором, она представляет минимальную задержку. |
— расширенное покрытие: позволяет отслеживать несколько коммутаторов. — Гибкость. Можно использовать для мониторинга трафика из разных частей сети. |
— Широкий охват: обеспечивает мониторинг между различными IP-сетями и расположениями. — Гибкость: можно использовать в сценариях, когда трафик должен отслеживаться на длинных расстояниях или через сложные сетевые пути. |
| Ограничения | Локальная область: ограничена мониторингом в том же коммутаторе, что может быть недостаточно для больших сетей. | Сетевая нагрузка: потенциально увеличивает нагрузку на сеть из-за трафика виртуальной локальной сети RSPAN. |
При выборе метода зеркального отображения также учитывайте следующие факторы:
| Факторы | Description |
|---|---|
| Размер сети и макет | — SPAN подходит для локального мониторинга. — RSPAN для более крупных сред с несколькими коммутаторами — ERSPAN для географически распределенных или сложных сетей. |
| Объем трафика | Убедитесь, что выбранный метод может обрабатывать объем трафика, не вводя значительную задержку или сетевую нагрузку. |
| Потребности в мониторинге | Определите, фиксируется ли трафик локально или в разных сетевых сегментах и выбирается соответствующий метод. |
Процессы зеркального отображения трафика
Используйте одну из следующих процедур, чтобы настроить зеркальное отображение трафика в сети:
Порты SPAN:
- Настройка зеркального отображения с помощью порта SPAN коммутатора
- Настройка зеркального отображения трафика с помощью порта Remote SPAN (RSPAN)
- Обновление интерфейсов мониторинга датчика (настройка ERSPAN)
Виртуальные коммутаторы:
- Настройка зеркального отображения трафика с помощью ESXi vSwitch
- Настройка зеркального отображения трафика с помощью vSwitch Hyper-V
Defender для Интернета вещей также поддерживает зеркальное отображение трафика с конфигурациями TAP. Дополнительные сведения см. в разделе "Активный или пассивный агрегирование" (TAP).