Dela via

Konfigurera ERSPAN-trafikspegling (äldre) med en Cisco-växel

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram över ett förloppsfält med distribution på nätverksnivå markerat.

Den här artikeln innehåller vägledning på hög nivå för att konfigurera inkapslad ERSPAN-trafikspegling (Remote Switch Port Analyzer) för en Cisco-växel.

Vi rekommenderar att du använder den mottagande routern som gre-tunnelmål (generic routing encapsulation).

Förutsättningar

Innan du börjar bör du se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

Konfigurera Cisco-växeln

Följande kod visar ett exempel ifconfig på utdata för ERSPAN som konfigurerats på en Cisco-växel:

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

Mer information finns i CLI-kommandoreferens från OT-nätverkssensorer.

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Skärmbild av Wireshark-validering.

Konfigurera äldre ERSPAN i CLI

Viktigt!

Vi rekommenderar inte att du använder äldre versioner av programvaran eftersom det kan orsaka säkerhetsproblem för systemet. Om du fortfarande använder den äldre versionen måste användaren köra specifika CLI-kommandon som beskrivs i det här avsnittet.

Konfigurera konfiguration via CLI

Använd den här proceduren för att konfigurera följande inledande konfigurationsinställningar via CLI:

  • Logga in på sensorkonsolen och ange ett nytt administratörsanvändarlösenord
  • Definiera nätverksinformation för sensorn
  • Definiera de gränssnitt som du vill övervaka

CLI Legacy

För att konfigurera ett äldre ERSPAN-tunnelgränssnitt i CLI måste du använda en anpassad kodrad. Den här koden säkerställer att det äldre ERSPAN-alternativet är tillgängligt i cli-sensorkonfigurationsguiden.

En ny äldre ERPSAN kan bara konfigureras om du har ett befintligt gränssnitt konfigurerat.

Så här konfigurerar du den äldre ERSPAN:

  1. Logga in på sensorn med hjälp av ett CLI-gränssnitt med en cyberx- eller administratörsanvändare.

  2. Skriv ERSPAN=1 python3 -m cyberx.config.configure.

    Skärmbild av CLI-sensorkonfigurationen för ett äldre versionsgränssnitt.

  3. Välj LegacyErspan och tilldela ett gränssnitt.

  4. Välj Spara.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »