Konfigurieren der Datenverkehrsspiegelung mit einem ESXi Switch
Dieser Artikel gehört zu einer Reihe von Artikeln, in denen der Bereitstellungspfad für die OT-Überwachung mit Microsoft Defender for IoT beschrieben wird.
In diesem Artikel wird beschrieben, wie Sie den Promiscuous-Modus in einer ESXi vSwitch-Umgebung ähnlich einem SPAN-Port als Problemumgehung für die Konfiguration der Datenverkehrsspiegelung verwenden. Ein SPAN-Port in Ihrem Switch spiegelt den lokalen Datenverkehr von Schnittstellen auf dem Switch an eine Schnittstelle auf demselben Switch.
Weitere Informationen finden Sie unter Datenverkehrsspiegelung mit virtuellen Switches.
Voraussetzungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie den Plan für die Netzwerküberwachung mit Defender for IoT verstehen und die SPAN-Ports kennen, die Sie konfigurieren möchten.
Weitere Informationen finden Sie unter Datenverkehrsspiegelungsmethoden für die OT-Überwachung.
Konfigurieren einer Überwachungsschnittstelle mithilfe des Promiscuous-Modus
So konfigurieren Sie eine Überwachungsschnittstelle mit Promiscuous-Modus auf einem ESXi v-Switch:
Öffnen Sie die vSwitch-Eigenschaftenseite, und wählen Sie Virtuellen Standardswitch hinzufügen aus.
Geben Sie das SPAN-Netzwerk als Netzwerkbezeichnung ein.
Geben Sie im Feld „MTU“ den Wert 4096 ein.
Wählen Sie Sicherheit aus, und überprüfen Sie, ob die Richtlinie für Promisker Modus auf den Modus Akzeptieren festgelegt wurde.
Wählen Sie Hinzufügen aus, um die vSwitch-Eigenschaften zu schließen.
Markieren Sie den soeben erstellten vSwitch, und wählen Sie Uplink hinzufügen aus.
Wählen Sie die physische NIC aus, die Sie für den SPAN-Datenverkehr verwenden möchten, ändern Sie die MTU in 4096, und wählen Sie dann Speichern aus.
Öffnen Sie die Eigenschaftenseite Portgruppe, und wählen Sie Portgruppe hinzufügen aus.
Geben Sie SPAN-Portgruppe als Namen und 4095 als VLAN-ID ein, und wählen Sie in der Dropdownliste „vSwitch“ die Option SPAN-Netzwerk und dann Hinzufügen aus.
Öffnen Sie die OT Sensor VM-Eigenschaften.
Wählen Sie für Netzwerkadapter 2 das SPAN-Netzwerk aus.
Klicken Sie auf OK.
Stellen Sie eine Verbindung mit dem Sensor her, und überprüfen Sie, ob die Spiegelung funktioniert.
Überprüfen der Datenverkehrsspiegelung
Versuchen Sie nach der Konfiguration der Datenverkehrsspiegelung, eine Stichprobe des aufgezeichneten Datenverkehrs (PCAP-Datei) vom Switch-SPAN-Port oder Spiegelungsport zu erhalten.
Eine PCAP-Beispieldatei hilft Ihnen bei folgenden Punkten:
- Überprüfen der Switchkonfiguration
- Vergewissern, dass der Datenverkehr, der ihren Switch durchläuft, für die Überwachung relevant ist
- Identifizieren der Bandbreite und einer geschätzten Anzahl von Geräten, die vom Switch erkannt wurden
Verwenden Sie eine Netzwerkprotokollanalyseanwendung wie Wireshark, um für einige Minuten eine PCAP-Beispieldatei aufzuzeichnen. Verbinden Sie beispielsweise einen Laptop mit einem Port, an dem Sie die Datenverkehrsüberwachung konfiguriert haben.
Überprüfen Sie, ob Unicast-Pakete im aufgezeichneten Datenverkehr vorhanden sind. Unicastdatenverkehr ist Datenverkehr, der von einer Adresse an eine andere gesendet wird.
Wenn der größte Teil des Datenverkehrs ARP-Nachrichten ist, ist Ihre Konfiguration für die Datenverkehrsspiegelung nicht korrekt.
Überprüfen Sie, ob Ihre OT-Protokolle im analysierten Datenverkehr vorhanden sind.
Beispiel: