通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

配置并激活 OT 传感器

  • 项目

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的 部署路径 的系列文章之一,具体介绍如何配置初始设置并激活 OT 传感器。

进度栏的示意图,其中突出显示了“部署传感器”。

可在浏览器中或通过 CLI 执行多个初始设置步骤。

  • 如果可将交换机上的物理缆线连接到传感器以正确识别接口,则请使用浏览器。 确保重新配置网络适配器以匹配传感器上的默认设置。
  • 如果清楚网络详细信息,则请使用 CLI 而无需连接物理缆线。 如果只能通过 iLo/iDrac 连接传感器,则使用 CLI

通过 CLI 配置设置时,仍然需要在浏览器中完成最后几步。

先决条件

若要执行本文中的过程,你需要:

  • 将 OT 传感器载入 Azure 门户中的 Defender for IoT

  • 设备上安装的 OT 传感器软件。 请确保自己已安装软件,或者已购买预配置好的设备。

  • 传感器的激活文件,该文件是在载入传感器后下载的。 你部署的每个 OT 传感器都需要一个唯一的激活文件。

    从 Azure 门户下载的所有文件均由信任根签名,以便计算机仅使用已签名资产。

    注意

    激活文件在创建后 14 天过期。 如果已载入传感器,但在激活文件过期前未将其上传,请下载新的激活文件

  • SSL/TLS 证书。 建议使用 CA 签名的证书,而不是自签名证书。 有关详细信息,请参阅为 OT 设备创建 SSL/TLS 证书

  • 对你要在其中安装传感器的物理或虚拟设备的访问权限。 有关详细信息,请参阅我需要哪些设备?

此步骤由部署团队执行。

通过浏览器配置安装

通过浏览器配置传感器安装包含以下步骤:

  • 登录到传感器控制台,并更改“管理员”用户密码
  • 定义传感器的网络详细信息
  • 定义要监视的接口
  • 激活传感器
  • 配置 SSL/TLS 证书设置

登录到传感器控制台并更改默认密码

此过程介绍如何首次登录到 OT 传感器控制台。 系统会提示你更改“管理员”用户的默认密码。

若要登录到传感器,请执行以下操作

  1. 在浏览器中,转到 192.168.0.101 IP 地址,这是安装结束时为传感器提供的默认 IP 地址。

    此时会显示初始登录页面。 例如:

    初始传感器登录页面的屏幕截图。

  2. 输入以下凭据,然后选择“登录”:

    • 用户名admin
    • 密码admin

    系统会要求你为“管理员”用户定义新密码。

  3. 在“新建密码”字段中,输入新密码。 密码必须包含小写和大写字母字符、数字、符号。

    在“确认新密码”字段中,再次输入新密码,然后选择“开始”。

    有关详细信息,请参阅默认特权用户

这会打开“Defender for IoT | 概述”页面,转到“管理界面”选项卡。

定义传感器网络详细信息

在“管理界面”选项卡中,使用以下字段为新传感器定义网络详细信息:

名称 说明
管理界面 选择要用作管理接口的接口来连接 Azure 门户或本地管理控制台。

若要识别计算机上的物理接口,请选择一个接口,然后选择“闪烁物理接口 LED”。 与所选接口匹配的端口将亮起,以便你可正确连接电缆。
IP 地址 输入要用于传感器的 IP 地址。 这是团队用于通过浏览器或 CLI 连接到传感器的 IP 地址。
子网掩码 输入要用作传感器子网掩码的地址。
默认网关 输入要用作传感器输入网关的地址。
DNS 输入传感器的 DNS 服务器 IP 地址。
主机名 输入要分配给传感器的主机名。 请确保使用的主机名与 DNS 服务器中定义的主机名相同。
为云连接启用代理(可选) 选择为传感器定义代理服务器。

如果使用 SSL/TSL 证书访问代理服务器,请选择客户端证书并上传证书。

完成后,选择“下一步:接口配置”以继续。

定义要监视的接口

“接口配置”选项卡默认显示传感器检测到的所有接口。 使用此选项卡可打开或关闭每个接口的监视,或为每个接口定义特定设置。

提示

建议通过将设置配置为仅监视正在使用的接口来优化传感器的性能。

在“接口配置”选项卡中,执行以下操作,为受监视的接口配置设置:

  1. 为希望传感器监视的任何接口选择“启用/禁用”切换开关。 若要继续,必须至少选择一个接口。

    如果不确定要使用哪个接口,请选择“闪烁物理接口 LED”按钮,使所选端口在计算机上闪烁。 选择已连接到交换机的任何接口。

  2. (可选)为选择要监视的每个接口,选择“高级设置”按钮修改以下任何设置:

    名称 说明
    模式 选择以下方案之一:
    - SPAN 流量(不使用封装)使用默认 SPAN 端口镜像。
    - ERSPAN 如果使用的是 ERSPAN 镜像。

    有关详细信息,请参阅为 OT 传感器选择流量镜像方法
    说明 输入接口的可选说明。 稍后会在传感器的“系统设置>接口配置”页上看到输入的说明,这些说明可帮助了解每个接口的用途。
    自动协商 仅与物理计算机相关。 使用此选项可以确定使用哪种通信方法,或者通信方法是否在组件之间自动定义。

    重要提示:建议仅在网络团队的设备上更改此设置。

    若要向接口添加 ERSPAN 隧道,请执行以下操作:

    1. 在“模式”选项中,从下拉列表中选择“隧道”

    2. 若要配置隧道,请更新以下 OT 传感器详细信息:

      • 描述(可选)。
      • “IP 接口”
      • 子网。

    例如:

    显示如何在 OT 传感器设置中配置 ERSPAN 设置的屏幕截图。

  3. 选择“保存”以保存更改。

  4. 选择“下一步:重新启动 >”以继续,然后选择“开始重启”以重启传感器计算机。 传感器再次启动后,系统会自动将你重定向到之前定义为传感器 IP 地址的 IP 地址。

    选择“取消”以等待重启。

激活 OT 传感器

此过程介绍如何激活新的 OT 传感器。

如果到目前为止都是通过 CLI配置的初始设置,则从这一步起将会开始基于浏览器的配置操作。 传感器重启后,系统会将你重定向到相同的“Defender for IoT | 概述”页面的“激活”选项卡。

若要激活传感器,请执行以下操作:

  1. 在“激活”选项卡中选择“上传”,上传你从 Azure 门户下载的传感器激活文件
  2. 选择条款和条件选项,然后选择“激活”
  3. 选择“下一步: 证书”

如果激活过程中在基于云的传感器和 Azure 门户之间出现连接问题,导致激活失败,则“激活”按钮下方会出现一条消息。 若要解决连接性问题,请选择“了解详细信息”,此时会打开“云连接性”窗格。 该窗格列出了问题的原因和解决方法的建议。

即使没有解决问题,也可通过选择“下一步: 证书”继续执行下一阶段的操作。

进入下一阶段之前必须解决的唯一连接问题是检测到时间偏移且传感器未同步到云时出现的问题。 在这种情况下,必须按照建议正确同步传感器,然后才能进入下一阶段。

定义 SSL/TLS 证书设置

使用“证书”选项卡,在 OT 传感器上部署 SSL/TLS 证书。 建议对所有生产环境使用 CA 签名的证书

若要定义 SSL/TLS 证书设置,请执行以下操作

  1. 在“证书”选项卡中,选择“导入受信任的 CA 证书(建议)”以部署 CA 签名的证书。

    输入证书的名称和通行短语,然后选择“上传”,上传私钥文件、证书文件和可选的证书链文件。

    上传文件后,可能需要刷新页面。 有关详细信息,请参阅排查证书上传错误

    提示

    如果你使用的是测试环境,则还可以使用在安装过程中在本地生成的自签名证书。 如果选择使用自签名证书,请确保选择建议的“确认”选项。

    有关详细信息,请参阅管理 SSL/TLS 通知

  2. 在“验证本地管理控制台证书”区域中,正如在证书中配置的那样,选择“强制”以对照证书吊销列表 (CRL) 验证本地管理控制台的证书是否有效。

    有关详细信息,请参阅本地资源的 SSL/TLS 证书要求以及为 OT 设备创建 SSL/TLS 证书

  3. 选择“完成”来完成初始设置,并打开传感器控制台。

通过 CLI 配置设置

使用此过程通过 CLI 配置以下初始设置:

  • 登录到传感器控制台,并选择新的“管理员”用户密码
  • 定义传感器的网络详细信息
  • 定义要监视的接口

在浏览器中继续进行激活配置 SSL/TLS 证书设置

注意

本文中的信息适用于传感器版本 24.1.5。 如果运行的是早期版本,请参阅配置 ERSPAN 镜像

若要通过 CLI 配置初始设置,请执行以下操作

  1. 在安装屏幕中,在显示默认网络详细信息后,按 Enter 以继续。

  2. 提示 D4Iot login 时,使用以下默认凭据登录:

    • 用户名admin
    • 密码admin

    输入密码时,密码字符不会显示在屏幕上。 确保仔细输入。

  3. 出现提示后,为“管理员”用户输入新密码。 密码必须包含小写和大写字母字符、数字、符号。

    当系统提示确认密码时,再次输入新密码。 有关详细信息,请参阅默认特权用户

  4. 更改密码后,Sensor Config 向导会自动启动。 继续执行步骤 5.

    如果进行后续登录,请继续执行步骤 4。

  5. 若要启动 Sensor Config 向导,请在提示符下键入 network reconfigure。 如果使用的是 cyberx 用户,请键入 ERSPAN=1 python3 -m cyberx.config.configure

  6. Sensor Config 屏幕显示界面的当前设置。 确保一个界面设置为管理界面。 在此向导中,使用向上或向下箭头进行导航,并使用空格键选择一个选项。 按 ENTER 可进入下一屏幕。

    选择要配置的界面,例如:

    选择监视界面屏幕的屏幕截图。

  7. Select type 屏幕中为该界面选择新的配置类型。

重要

请确保仅选择已连接的接口。

如果选择的是已启用但未连接的接口,则传感器将在 Azure 门户中显示“未监视到流量”运行状况通知。 如果在安装后连接更多流量源,并且希望使用 Defender for IoT 监视它们,那么可以稍后通过 CLI 添加流量源。

界面可设置为“管理”、“监视器”、“隧道”或“未使用”。 你可能希望将界面设置为“未使用”(作为临时设置),以便重置它,或者在原始设置出现错误时这样做。

  1. 若要配置“管理”界面,请执行以下操作:

    1. 选择界面。

    2. 选择“管理”

    3. 键入传感器的“IP 地址”、“DNS 服务器”IP 地址和默认的“网关”IP 地址。

      界面“管理”屏幕的屏幕截图。

    4. 选择返回

  2. 若要配置“监视器”界面,请执行以下操作:

    1. 选择界面。
    2. 选择“监视器”。 “传感器配置”屏幕会更新。

  3. 若要配置 ERSPAN 隧道接口,请执行以下操作:

    1. 选择“接口 IP”,然后添加 IP 和子网详细信息。

    2. 选择“确认”。

    3. 选择“隧道”,然后添加名称、源 IP 和编号在 1 到 1023 之间的 ID。

      该屏幕截图显示了接口隧道屏幕。

    4. 选择“确认”。

  4. 若要将界面配置为“未使用”,请执行以下操作:

    1. 选择界面。
    2. 选择现有状态。
    3. 选择“未使用”。 “传感器配置”屏幕会更新。

  5. 配置所有界面后,选择“保存”

自动备份文件夹位置

传感器会自动创建备份文件夹。 若要更改已装载备份的位置,必须执行以下操作:

  1. 使用 admin 用户登录到传感器。
  2. 在 CLI 界面中键入以下代码:system backup path,然后添加路径位置,例如 /opt/sensor/backup
  3. 备份会自动运行,可能需要一分钟。

注意

在初始设置期间,ERSPAN 监视端口的选项仅在基于浏览器的过程中可用。

如果要通过 CLI 定义网络详细信息,并且想要设置 ERSPAN 监视端口,请稍后通过传感器的“设置>接口连接”页执行此操作。 有关详细信息,请参阅更新传感器的监视接口(配置 ERSPAN)

后续步骤

« 验证 OT 传感器软件安装

在 OT 传感器上配置代理设置 »