你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用远程 SPAN (RSPAN) 端口配置流量镜像
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。
本文介绍在 Cisco 2960 交换机(其中包含 24 个运行 IOS 的端口)上配置 RSPAN 的示例过程。
重要
本文仅作为指导而不是说明。 其他 Cisco 操作系统和其他交换机品牌上的镜像端口配置方式不同。 有关详细信息,请参阅交换机文档。
先决条件
在开始之前,请确保了解使用 Defender for IoT 进行网络监视的计划,以及要配置的 SPAN 端口。
有关详细信息,请参阅用于 OT 监视的流量镜像方法。
RSPAN 需要特定的 VLAN 在交换机之间传输受监视的 SPAN 流量。 在开始之前,请确保交换机支持 RSPAN。
请确保交换机上的镜像选项已关闭。
请确保源交换机与目标交换机之间的汇聚端口上允许远程 VLAN。
请确保连接到同一 RSPAN 会话的所有交换机都来自同一供应商。
请确保在交换机之间共享同一远程 VLAN 的汇聚端口尚未定义为镜像会话源端口。
远程 VLAN 通过从源会话镜像的流量增加汇聚端口的带宽。 确保交换机的汇聚端口可以支持增加的带宽。
注意
带宽增加(无论是由于吞吐量大还是交换机数量多)可能会导致交换机发生故障,从而使整个网络关闭。 使用 RSPAN 配置流量镜像时,请务必考虑以下事项:
- 使用 RSPAN 配置的访问/分发交换机数量。
- 每个交换机上远程 VLAN 的关联吞吐量。
配置源交换机
在源交换机上:
进入
global configuration模式并创建新的专用 VLAN。将新 VLAN 标识为 RSPAN VLAN,然后返回到
configure terminal模式。将所有 24 个端口配置为会话源。
将 RSPAN VLAN 配置为会话目标。
返回到特权
EXEC模式并验证端口镜像配置。
配置目标交换机
在目标交换机上:
进入
global configuration模式并将 RSPAN VLAN 配置为会话源。将物理端口 24 配置为会话目标。
返回到特权
EXEC模式并验证端口镜像配置。保存配置。
验证流量镜像
配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。
示例 PCAP 文件将有助于:
- 验证交换机配置
- 确认通过交换机的流量与监视相关
- 标识交换机检测到的带宽和预估设备数
使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。
检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。
如果大多数流量是 ARP 消息,则流量镜像配置不正确。
验证已分析的流量中是否存在 OT 协议。
例如:
