你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
流量镜像概述
本文是介绍 Microsoft Defender for IoT OT 监视部署路径系列文章中的其中一篇,概述了在网络中配置流量镜像的流程。
先决条件
在配置流量镜像之前,请确保已确定传感器位置和流量镜像方法。
传感器位置
确定在网络中放置传感器的最佳位置以监视网络流量,并提供可能的最佳发现和安全价值。 该位置应允许传感器访问以下三种重要类型的网络流量:
| 类型 | 描述 |
|---|---|
| 第 2 层 (L2) 流量 | L2 流量(包括 ARP 和 DHCP 等协议)是衡量传感器放置情况的关键指标。 访问 L2 流量还意味着传感器可以收集有关网络设备的精确且有价值的数据。 当将传感器放置在正确位置时,它会准确捕获设备的 MAC 地址。 此重要信息将提供供应商指示信息,可增强传感器对设备进行分类的能力。 |
| OT 协议 | OT 协议对于提取有关网络内设备的详细信息至关重要。 这些协议将提供可确保准确设备分类的关键数据。 通过分析 OT 协议流量,传感器可以收集有关每个设备的全面细节,例如其型号、固件版本和其他相关特征。 这种细节层次对于维护包含所有设备的最新准确清单是必需的,这对于网络管理和安全性至关重要。 |
| 内部子网通信 | OT 网络设备在子网内通信,内部子网通信中发现的信息可确保传感器收集的数据的质量。 传感器将放置在确保有权访问内部子网通信的位置,以便监视设备交互,这些交互通常包括关键数据。 通过捕获这些数据包,传感器可以提供详细、准确的网络画像。 |
有关详细信息,请参阅在网络中放置 OT 传感器。
流量镜像方法
有三种类型的流量镜像方法,每种方法都是为特定的使用场景设计的。 请根据网络的使用情况和大小选择最佳方法。
| 镜像类型 | 交换机端口分析器 (SPAN) | 远程 SPAN (RSPAN) | 封装的远程 SPAN (ERSPAN) |
|---|---|---|---|
| 使用场景 | 非常适合用于监视和分析单个交换机或小型网段内的流量。 | 适用于大型网络或需要跨不同网段监视流量的场景。 | 非常适合用于监视不同网络或地理位置分散的网络(包括远程站点)上的流量。 |
| 描述 | SPAN 是在单个交换机或交换机堆栈中使用的本地流量镜像技术。 它允许网络管理员将来自指定源端口或 VLAN 的流量复制到监视设备(例如网络传感器或分析器)连接的目标端口。 | RSPAN 允许跨多个交换机镜像流量,从而扩展 SPAN 的功能。 它专为需要在不同的交换机或交换机堆栈上进行监视的环境而设计。 | ERSPAN 在 RSPAN 的基础上更进一步,将镜像流量封装在通用路由封装 (GRE) 数据包中。 此方法允许跨不同网段(甚至在整个 Internet 中)进行流量镜像。 |
| 镜像设置 | - 源端口/VLAN:将交换机配置为镜像来自所选端口或 VLAN 的流量。 - 目标端口:镜像流量将发送到同一交换机上的指定端口。 此端口将连接到监视设备。 |
- 源端口/VLAN:将从源交换机上的指定源端口或 VLAN 镜像流量。 - RSPAN VLAN:镜像流量将发送到跨多个交换机的特殊 RSPAN VLAN。 - 目标端口:然后,流量将从此 RSPAN VLAN 提取到连接监视设备的远程交换机上的指定端口。 |
- 源端口/VLAN:类似于 SPAN 和 RSPAN,将从指定的源端口或 VLAN 镜像流量。 - 封装:镜像流量将封装在 GRE 数据包中,然后可以通过 IP 网络路由这些数据包。 - 目标端口:封装的流量将发送到连接目标端口的监视设备,然后该设备将解封和分析相应 GRE 数据包。 |
| 优点 | - 简单性:易于配置和管理。 - 低延迟:由于它仅限于单个交换机,因此引入的延迟最少。 |
- 更大的覆盖范围:允许跨多个交换机进行监视。 - 灵活性:可用于监视来自网络不同部分的流量。 |
- 广泛覆盖:支持跨不同 IP 网络和位置进行监视。 - 灵活性:可用于需要远距离或通过复杂网络路径监视流量的场景。 |
| 限制 | 本地范围:仅限于在同一交换机中进行监视,这可能不足以适应较大的网络。 | 网络负载:由于 RSPAN VLAN 流量,可能会增加网络上的负载。 |
选择镜像方法时,还要考虑以下因素:
| 因素 | 说明 |
|---|---|
| 网络大小和布局 | - SPAN 适用于本地监视。 - RSPAN 适用于较大的多交换机环境 - ERSPAN 适用于地理位置分散或复杂的网络。 |
| 流量 | 确保所选方法可以处理流量,而不会造成严重的延迟或网络负载。 |
| 监视需求 | 确定流量是在本地捕获还是跨不同的网段捕获,并选择适当的方法。 |
流量镜像流程
使用以下其中一个流程在网络中配置流量镜像:
SPAN 端口:
虚拟交换机:
Microsoft Defender for IoT 还支持使用 TAP 配置流量镜像。 有关详细信息,请参阅主动或被动聚合 (TAP)。