Dela via

Konfigurera trafikspegling med en Hyper-V vSwitch

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram över ett förloppsfält med distribution på nätverksnivå markerat.

Den här artikeln beskriver hur du använder promiskuöst läge i en Hyper-V Vswitch-miljö som en lösning för att konfigurera trafikspegling, ungefär som en SPAN-port. En SPAN-port på växeln speglar lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.

Mer information finns i Trafikspegling med virtuella växlar.

Förutsättningar

Innan du börjar:

  • Se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

    Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

  • Kontrollera att det inte finns någon instans av en virtuell installation som körs.

  • Kontrollera att du har aktiverat Kontrollera SPAN på den virtuella växelns dataport och inte hanteringsporten.

  • Kontrollera att dataportens SPAN-konfiguration inte har konfigurerats med en IP-adress.

Skapa en ny virtuell Hyper-V-växel för att vidarebefordra den speglade trafiken till den virtuella datorn

Skapa en ny virtuell växel med PowerShell

New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true

Där:

Parameter Description
vSwitch_Span Nytt span-namn har lagts till
Ethernet Namn på fysiskt kort

Lär dig hur du skapar och konfigurerar en virtuell växel med Hyper-V

Skapa en ny virtuell växel med Hyper-V Manager

  1. Öppna Virtual Switch Manager.

  2. I listan Virtuella växlar väljer du Ny virtuell nätverksväxel>Extern som den dedikerade nätverkskorttypen.

    Skärmbild av att välja nytt virtuellt nätverk och externt innan du skapar den virtuella växeln.

  3. Välj Skapa virtuell växel.

  4. I området Anslutningstyp väljer du Externt nätverk och ser till att alternativet Tillåt hanteringsoperativsystem att dela det här nätverkskortet är valt. Till exempel:

    Skärmbild av alternativet Externt nätverk.

  5. Välj OK.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln

Använd Windows PowerShell eller Hyper-V Manager för att koppla ett virtuellt SPAN-gränssnitt till den virtuella växel som du skapade tidigare.

Om du använder PowerShell definierar du namnet på den nyligen tillagda nätverksmaskinvaran som Monitor. Om du använder Hyper-V Manager är namnet på den nyligen tillagda kortmaskinvaran inställd på Network Adapter.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln med PowerShell

  1. Välj den nyligen tillagda virtuella SPAN-växeln som du skapade tidigare och kör följande kommando för att lägga till ett nytt nätverkskort:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivera portspegling för det valda gränssnittet som span-mål med följande kommando:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Där:

    Parameter Description
    VK-C1000V-LongRunning-650 CPPM VA-namn
    vSwitch_Span Nytt span-namn har lagts till
    Övervaka Kortnamn som nyligen lagts till

  3. När du är klar väljer du OK.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln med Hyper-V Manager

  1. Under Hyper-V Manager:s maskinvarulista väljer du Nätverkskort.

  2. I fältet Virtuell växel väljer du vSwitch_Span.

    Skärmbild av att välja följande alternativ på skärmen för virtuell växel.

  3. I listan Maskinvara går du till listrutan Nätverkskort och väljer Avancerade funktioner. Under avsnittet Portspegling väljer du Mål som speglingsläge för det nya virtuella gränssnittet.

    Skärmbild av de val som krävs för att konfigurera speglingsläget.

  4. Välj OK.

Aktivera Microsoft NDIS-insamlingstillägg med PowerShell

Aktivera stöd för Microsoft NDIS Capture Extensions för den virtuella växel som du skapade tidigare.

Så här aktiverar du Microsoft NDIS-insamlingstillägg för din nya virtuella växel:

Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"

Aktivera Microsoft NDIS-insamlingstillägg med Hyper-V Manager

Aktivera stöd för Microsoft NDIS Capture Extensions för den virtuella växel som du skapade tidigare.

Så här aktiverar du Microsoft NDIS-insamlingstillägg för din nya virtuella växel:

  1. Öppna Virtual Switch Manager på Hyper-V-värden.

  2. I listan Virtuella växlar expanderar du namnet vSwitch_Span på den virtuella växeln och väljer Tillägg.

  3. I fältet Växla tillägg väljer du Microsoft NDIS Capture.

    Skärmbild av aktivering av Microsoft NDIS genom att välja det från menyn växla tillägg.

  4. Välj OK.

Konfigurera växelns speglingsläge

Konfigurera speglingsläget på den virtuella växel som du skapade tidigare så att den externa porten definieras som speglingskälla. Detta inkluderar att konfigurera den virtuella Hyper-V-växeln (vSwitch_Span) för att vidarebefordra all trafik som kommer till den externa källporten till ett virtuellt nätverkskort som konfigurerats som mål.

Om du vill ange den virtuella växelns externa port som källspeglingsläge kör du:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Där:

Parameter Description
vSwitch_Span Namnet på den virtuella växel som du skapade tidigare
MonitorMode=2 Källa
MonitorMode=1 Mål
MonitorMode=0 Ingen

Kontrollera övervakningslägets status genom att köra:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter Description
vSwitch_Span Nytt span-namn har lagts till

Konfigurera VLAN-inställningar för monitorkortet (om det behövs)

Om Hyper-V-servern finns i ett annat VLAN än det VLAN som den speglade trafiken kommer från ställer du in Monitor-adaptern för att acceptera trafik från de speglade VLAN:erna.

Använd det här PowerShell-kommandot för att aktivera monitorkortet för att acceptera den övervakade trafiken från olika VLAN:

Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10

Där:

Parameter Description
VK-C1000V-LongRunning-650 CPPM VA-namn
1010-1020 VLAN-intervall som IoT-trafik speglas från
10 Internt VLAN-ID för miljön

Läs mer om PowerShell-cmdleten Set-VMNetworkAdapterVlan .

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Skärmbild av Wireshark-validering.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »