Dela via

Konfigurera trafikspegling med en Hyper-V vSwitch

  • Artikel

Den här artikeln är en i en serie artiklar som beskriver distributionssökvägen för OT-övervakning med Microsoft Defender för IoT.

Diagram of a progress bar with Network level deployment highlighted.

Den här artikeln beskriver hur du använder promiskuöst läge i en Hyper-V Vswitch-miljö som en lösning för att konfigurera trafikspegling, ungefär som en SPAN-port. En SPAN-port på växeln speglar lokal trafik från gränssnitt på växeln till ett annat gränssnitt på samma växel.

Mer information finns i Trafikspegling med virtuella växlar.

Förutsättningar

Innan du börjar:

  • Se till att du förstår din plan för nätverksövervakning med Defender för IoT och de SPAN-portar som du vill konfigurera.

    Mer information finns i Trafikspeglingsmetoder för OT-övervakning.

  • Kontrollera att det inte finns någon instans av en virtuell installation som körs.

  • Kontrollera att du har aktiverat Kontrollera SPAN på den virtuella växelns dataport och inte hanteringsporten.

  • Kontrollera att dataportens SPAN-konfiguration inte har konfigurerats med en IP-adress.

Konfigurera en trafikspeglingsport med Hyper-V

  1. Öppna Virtual Switch Manager.

  2. I listan Virtuella växlar väljer du Ny virtuell nätverksväxel>Extern som den dedikerade nätverkskorttypen.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Välj Skapa virtuell växel.

  4. I området Anslut ionstyp väljer du Externt nätverk och ser till att alternativet Tillåt hanteringsoperativsystem att dela det här nätverkskortet är valt. Till exempel:

    Screenshot of the External network option.

  5. Välj OK.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln

Använd Windows PowerShell eller Hyper-V Manager för att koppla ett virtuellt SPAN-gränssnitt till den virtuella växel som du skapade tidigare.

Om du använder PowerShell definierar du namnet på den nyligen tillagda nätverksmaskinvaran som Monitor. Om du använder Hyper-V Manager är namnet på den nyligen tillagda kortmaskinvaran inställd på Network Adapter.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln med PowerShell

  1. Välj den nyligen tillagda virtuella SPAN-växeln som du konfigurerade tidigare och kör följande kommando för att lägga till ett nytt nätverkskort:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

  2. Aktivera portspegling för det valda gränssnittet som span-mål med följande kommando:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

    Där:

    Parameter Description
    VK-C1000V-LongRunning-650 CPPM VA-namn
    vSwitch_Span Nytt span-namn har lagts till
    Övervaka Kortnamn som nyligen lagts till

  3. När du är klar väljer du OK.

Koppla ett virtuellt SPAN-gränssnitt till den virtuella växeln med Hyper-V Manager

  1. Under Hyper-V Manager:s maskinvarulista väljer du Nätverkskort.

  2. I fältet Virtuell växel väljer du vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. I listan Maskinvara går du till listrutan Nätverkskort och väljer Maskinvaruacceleration och avmarkerar alternativet Virtuell datorkö för nätverksgränssnittet för övervakning.

  4. I listan Maskinvara går du till listrutan Nätverkskort och väljer Avancerade funktioner. Under avsnittet Portspegling väljer du Mål som speglingsläge för det nya virtuella gränssnittet.

    Screenshot of the selections needed to configure mirroring mode.

  5. Välj OK.

Aktivera Microsoft NDIS-insamlingstillägg

Aktivera stöd för Microsoft NDIS Capture Extensions för den virtuella växel som du skapade tidigare.

Så här aktiverar du Microsoft NDIS-insamlingstillägg för din nya virtuella växel:

  1. Öppna Virtual Switch Manager på Hyper-V-värden.

  2. I listan Virtuella växlar expanderar du namnet vSwitch_Span på den virtuella växeln och väljer Tillägg.

  3. I fältet Växla tillägg väljer du Microsoft NDIS Capture.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Välj OK.

Konfigurera växelns speglingsläge

Konfigurera speglingsläget på den virtuella växel som du skapade tidigare så att den externa porten definieras som speglingskälla. Detta inkluderar att konfigurera den virtuella Hyper-V-växeln (vSwitch_Span) för att vidarebefordra all trafik som kommer till den externa källporten till ett virtuellt nätverkskort som konfigurerats som mål.

Om du vill ange den virtuella växelns externa port som källspeglingsläge kör du:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Där:

Parameter Description
vSwitch_Span Namnet på den virtuella växel som du skapade tidigare
MonitorMode=2 Källa
MonitorMode=1 Mål
MonitorMode=0 Ingen

Kontrollera övervakningslägets status genom att köra:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parameter Description
vSwitch_Span Nytt span-namn har lagts till

Verifiera trafikspegling

När du har konfigurerat trafikspegling gör du ett försök att ta emot ett exempel på inspelad trafik (PCAP-fil) från växelns SPAN- eller speglingsport.

En PCAP-exempelfil hjälper dig:

  • Verifiera växelkonfigurationen
  • Bekräfta att trafiken som går via växeln är relevant för övervakning
  • Identifiera bandbredden och ett uppskattat antal enheter som identifierats av växeln

  1. Använd ett analysprogram för nätverksprotokoll, till exempel Wireshark, för att registrera en PCAP-exempelfil i några minuter. Anslut till exempel en bärbar dator till en port där du har konfigurerat trafikövervakning.

  2. Kontrollera att Unicast-paket finns i inspelningstrafiken . Unicast-trafik är trafik som skickas från adressen till en annan.

    Om det mesta av trafiken är ARP-meddelanden är konfigurationen för trafikspegling inte korrekt.

  3. Kontrollera att dina OT-protokoll finns i den analyserade trafiken.

    Till exempel:

    Screenshot of Wireshark validation.

Nästa steg

« Registrera OT-sensorer till Defender för IoT

Etablera OT-sensorer för molnhantering »