你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 ESXi vSwitch 配置流量镜像
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。
本文介绍了如何在 ESXi vSwitch 环境中使用 混杂模式作为配置流量镜像的解决方法,这与 SPAN 端口 相类似。 交换机上的 SPAN 端口会将本地流量从交换机上的接口镜像到同一交换机上的其他接口。
有关详细信息,请参阅使用虚拟交换机进行流量镜像。
先决条件
在开始之前,请确保了解使用 Defender for IoT 进行网络监视的计划,以及要配置的 SPAN 端口。
有关详细信息,请参阅用于 OT 监视的流量镜像方法。
使用混杂模式配置监视接口
若要在 ESXi v-Switch 上配置使用混杂模式的监视接口,请执行以下操作:
打开 vSwitch 属性页,然后选择“添加标准虚拟交换机”。
输入“SPAN 网络”作为网络标签。
在“MTU”字段中,输入 4096。
选择“安全性”,验证是否已将“混杂模式”策略设置为“接受”模式。
选择“添加”以关闭 vSwitch 属性。
突出显示刚刚创建的 vSwitch,然后选择“添加上行链接”。
选择要用于 SPAN 流量的物理 NIC,将 MTU 更改为 4096,然后选择“保存”。
打开“端口组”属性页,然后选择“添加端口组”。
输入 SPAN 端口组 作为名称,输入 4095 作为 VLAN ID,并在 vSwitch 下拉列表中选择“SPAN 网络 ”,然后选择“添加”。
打开“OT 传感器 VM”属性。
对于“网络适配器 2”,请选择“SPAN”网络。
选择“确定”。
连接到传感器,验证镜像功能是否正常。
验证流量镜像
配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。
示例 PCAP 文件将有助于:
- 验证交换机配置
- 确认通过交换机的流量与监视相关
- 标识交换机检测到的带宽和预估设备数
使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。
检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。
如果大多数流量是 ARP 消息,则流量镜像配置不正确。
验证已分析的流量中是否存在 OT 协议。
例如:
