你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
配置并激活 OT 传感器
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的 部署路径 的系列文章之一,具体介绍如何配置初始设置并激活 OT 传感器。
可在浏览器中或通过 CLI 执行多个初始设置步骤。
- 如果可将交换机上的物理缆线连接到传感器以正确识别接口,则请使用浏览器。 确保重新配置网络适配器以匹配传感器上的默认设置。
- 如果清楚网络详细信息,则请使用 CLI 而无需连接物理缆线。 如果只能通过 iLo/iDrac 连接传感器,则使用 CLI
通过 CLI 配置设置时,仍然需要在浏览器中完成最后几步。
先决条件
若要执行本文中的过程,你需要:
将 OT 传感器载入 Azure 门户中的 Defender for IoT。
传感器的激活文件,该文件是在载入传感器后下载的。 你部署的每个 OT 传感器都需要一个唯一的激活文件。
从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。
注意
激活文件在创建后 14 天过期。 如果已载入传感器,但在激活文件过期前未将其上传,请下载新的激活文件。
SSL/TLS 证书。 建议使用 CA 签名的证书,而不是自签名证书。 有关详细信息,请参阅为 OT 设备创建 SSL/TLS 证书。
对你要在其中安装传感器的物理或虚拟设备的访问权限。 有关详细信息,请参阅我需要哪些设备?
此步骤由部署团队执行。
通过浏览器配置安装
通过浏览器配置传感器安装包含以下步骤:
- 登录到传感器控制台,并更改“管理员”用户密码
- 定义传感器的网络详细信息
- 定义要监视的接口
- 激活传感器
- 配置 SSL/TLS 证书设置
登录到传感器控制台并更改默认密码
此过程介绍如何首次登录到 OT 传感器控制台。 系统会提示你更改“管理员”用户的默认密码。
若要登录到传感器,请执行以下操作:
在浏览器中,转到
192.168.0.101
IP 地址,这是安装结束时为传感器提供的默认 IP 地址。此时会显示初始登录页面。 例如:
输入以下凭据,然后选择“登录”:
- 用户名:
admin
- 密码:
admin
系统会要求你为“管理员”用户定义新密码。
- 用户名:
在“新建密码”字段中,输入新密码。 密码必须包含小写和大写字母字符、数字、符号。
在“确认新密码”字段中,再次输入新密码,然后选择“开始”。
有关详细信息,请参阅默认特权用户。
这会打开“Defender for IoT | 概述”页面,转到“管理界面”选项卡。
定义传感器网络详细信息
在“管理界面”选项卡中,使用以下字段为新传感器定义网络详细信息:
完成后,选择“下一步:接口配置”以继续。
定义要监视的接口
“接口配置”选项卡默认显示传感器检测到的所有接口。 使用此选项卡可打开或关闭每个接口的监视,或为每个接口定义特定设置。
提示
建议通过将设置配置为仅监视正在使用的接口来优化传感器的性能。
在“接口配置”选项卡中,执行以下操作,为受监视的接口配置设置:
为希望传感器监视的任何接口选择“启用/禁用”切换开关。 若要继续,必须至少选择一个接口。
如果不确定要使用哪个接口,请选择“闪烁物理接口 LED”按钮,使所选端口在计算机上闪烁。 选择已连接到交换机的任何接口。
(可选)为选择要监视的每个接口,选择“高级设置”按钮修改以下任何设置:
名称 说明 模式 选择以下方案之一:
- SPAN 流量(不使用封装)使用默认 SPAN 端口镜像。
- ERSPAN 如果使用的是 ERSPAN 镜像。
有关详细信息,请参阅为 OT 传感器选择流量镜像方法。说明 输入接口的可选说明。 稍后会在传感器的“系统设置>接口配置”页上看到输入的说明,这些说明可帮助了解每个接口的用途。 自动协商 仅与物理计算机相关。 使用此选项可以确定使用哪种通信方法,或者通信方法是否在组件之间自动定义。
重要提示:建议仅在网络团队的设备上更改此设置。选择“保存” 以保存更改。
选择“下一步:重新启动 >”以继续,然后选择“开始重启”以重启传感器计算机。 传感器再次启动后,系统会自动将你重定向到之前定义为传感器 IP 地址的 IP 地址。
选择“取消”以等待重启。
激活 OT 传感器
此过程介绍如何激活新的 OT 传感器。
如果到目前为止都是通过 CLI配置的初始设置,则从这一步起将会开始基于浏览器的配置操作。 传感器重启后,系统会将你重定向到相同的“Defender for IoT | 概述”页面的“激活”选项卡。
若要激活传感器,请执行以下操作:
- 在“激活”选项卡中选择“上传”,上传你从 Azure 门户下载的传感器激活文件。
- 选择条款和条件选项,然后选择“激活”。
- 选择“下一步: 证书”。
定义 SSL/TLS 证书设置
使用“证书”选项卡,在 OT 传感器上部署 SSL/TLS 证书。 建议对所有生产环境使用 CA 签名的证书。
若要定义 SSL/TLS 证书设置,请执行以下操作:
在“证书”选项卡中,选择“导入受信任的 CA 证书(建议)”以部署 CA 签名的证书。
输入证书的名称和通行短语,然后选择“上传”,上传私钥文件、证书文件和可选的证书链文件。
上传文件后,可能需要刷新页面。 有关详细信息,请参阅排查证书上传错误。
在“验证本地管理控制台证书”区域中,正如在证书中配置的那样,选择“强制”以对照证书吊销列表 (CRL) 验证本地管理控制台的证书是否有效。
有关详细信息,请参阅本地资源的 SSL/TLS 证书要求以及为 OT 设备创建 SSL/TLS 证书。
选择“完成”来完成初始设置,并打开传感器控制台。
通过 CLI 配置设置
使用此过程通过 CLI 配置以下初始设置:
- 登录到传感器控制台,并选择新的“管理员”用户密码
- 定义传感器的网络详细信息
- 定义要监视的接口
在浏览器中继续进行激活和配置 SSL/TLS 证书设置。
若要通过 CLI 配置初始设置,请执行以下操作:
在安装屏幕中,在显示默认网络详细信息后,按 Enter 以继续。
提示
D4Iot login
时,使用以下默认凭据登录:- 用户名:
admin
- 密码:
admin
输入密码时,密码字符不会显示在屏幕上。 确保仔细输入。
- 用户名:
出现提示后,为“管理员”用户输入新密码。 密码必须包含小写和大写字母字符、数字、符号。
当系统提示确认密码时,再次输入新密码。 有关详细信息,请参阅默认特权用户。
Package configuration
Linux 配置向导会打开。 在此向导中,使用向上或向下箭头进行导航,并使用空格键选择一个选项。 按 ENTER 可进入下一屏幕。在向导的
Select monitor interfaces
屏幕中,选择希望使用此传感器监视的任意一个接口。系统会选择找到的第一个接口作为管理接口,建议保留默认选择。 如果决定使用不同的端口作为管理接口,则只有在传感器重启后才会实现更改。 这种情况下,请确保传感器已根据需要连接。
例如:
重要
请确保仅选择已连接的接口。
如果选择的是已启用但未连接的接口,则传感器将在 Azure 门户中显示“未监视到流量”运行状况通知。 如果在安装后连接更多流量源,并且希望使用 Defender for IoT 监视它们,那么可以稍后通过 CLI 添加流量源。
在
Select management interface
屏幕中,选择要用来连接 Azure 门户或本地管理控制台的接口。例如:
在
Enter sensor IP address
屏幕中,输入希望此传感器使用的 IP 地址。 使用此 IP 地址通过 CLI 或浏览器连接到传感器。 例如:在
Enter path to the mounted backups folder
屏幕中,输入传感器已安装备份的路径。 建议使用默认路径/opt/sensor/persist/backups
。 例如:在
Enter Subnet Mask
屏幕中,输入传感器子网掩码的 IP 地址。 例如:在
Enter Gateway
屏幕中,输入传感器的默认网关 IP 地址。 例如:在
Enter DNS server
屏幕中,输入传感器的 DNS 服务器 IP 地址。 例如:在
Enter hostname
屏幕中,输入要用作传感器主机名的名称。 请确保使用的主机名与 DNS 服务器中定义的主机名相同。 例如:在
Run this sensor as a proxy server (Preview)
屏幕中,仅当你要配置代理时才选择<Yes>
,然后根据提示输入代理凭据。 有关详细信息,请参阅在 OT 传感器上配置代理设置。默认配置没有代理。
配置过程开始运行、重新启动,然后提示你再次登录。 例如:
此时,打开浏览器以访问为传感器定义的 IP 地址,并继续在浏览器中进行设置。 有关详细信息,请参阅激活 OT 传感器。
注意
在初始设置期间,ERSPAN 监视端口的选项仅在基于浏览器的过程中可用。
如果要通过 CLI 定义网络详细信息,并且想要设置 ERSPAN 监视端口,请稍后通过传感器的“设置>接口连接”页执行此操作。 有关详细信息,请参阅更新传感器的监视接口(配置 ERSPAN)。