你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Cisco 交换机配置 ERSPAN(旧版)流量镜像
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。
本文简要概述了如何为 Cisco 交换机配置封装远程交换端口分析器 (ERSPAN) 流量镜像。
建议将接收路由器用作通用路由封装(GRE)隧道目标。
先决条件
在开始之前,请确保了解使用 Defender for IoT 进行网络监视的计划,以及要配置的 SPAN 端口。
有关详细信息,请参阅用于 OT 监视的流量镜像方法。
配置 Cisco 交换机
以下代码显示了 Cisco 交换机上配置的 ERSPAN 的示例 ifconfig 输出:
monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32 # required, # between 1-1023
vrf default # required
destination ip 172.1.2.3 # IP address of destination
source interface port-channel1 both # Port(s) to be sniffed
filter vlan 1 # limit VLAN(s) (optional)
no shut # enable
monitor erspan origin ip-address 172.1.2.1 global
有关详细信息,请参阅 OT 网络传感器的 CLI 命令参考。
验证流量镜像
配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。
示例 PCAP 文件将有助于:
- 验证交换机配置
- 确认通过交换机的流量与监视相关
- 标识交换机检测到的带宽和预估设备数
使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。
检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。
如果大多数流量是 ARP 消息,则流量镜像配置不正确。
验证已分析的流量中是否存在 OT 协议。
例如:
使用 CLI 配置旧版 ERSPAN
重要
不建议使用旧版软件,因为这可能会给系统带来安全问题。 如果仍在使用旧版本,用户需要运行本部分中讨论的特定 CLI 命令。
通过 CLI 配置设置
使用此过程通过 CLI 配置以下初始设置:
- 登录到传感器控制台,并选择新的“管理员”用户密码
- 定义传感器的网络详细信息
- 定义要监视的接口
CLI 旧版
若要使用 CLI 配置旧版 ERSPAN 隧道接口,你需要使用经过改编的代码行。 此代码可确保 CLI 传感器配置向导提供旧版 ERSPAN 选项。
只有在配置了现有接口的情况下,才能配置新的旧版 ERPSAN。
若要配置旧版 ERSPAN,请执行以下操作:
使用 cyberx 或管理员用户的 CLI 接口登录传感器。
键入
ERSPAN=1 python3 -m cyberx.config.configure。
选择“LegacyErspan”并分配接口。
选择“保存”。