Configuración de la creación de reflejo de tráfico con un conmutador virtual de Hyper-V

Este artículo forma parte de una serie de artículos que describen la ruta de acceso de implementación para la supervisión de OT con Microsoft Defender para IoT.

Diagram of a progress bar with Network level deployment highlighted.

En este artículo se describe cómo usar el modo promiscuo en un entorno de Hyper-V Vswitch como solución alternativa para configurar la creación de reflejo del tráfico, similar a un puerto SPAN. Un puerto SPAN del conmutador refleja el tráfico local desde las interfaces del conmutador a una interfaz diferente en el mismo conmutador.

Para obtener más información, consulte Creación de reflejo del tráfico con conmutadores virtuales.

Requisitos previos

Antes de comenzar:

  • Asegúrese de que comprende su plan para la supervisión de la red con Defender para IoT y los puertos SPAN que desea configurar.

    Para más información, consulte Métodos de creación de reflejo del tráfico para la supervisión de OT.

  • Asegúrese de que no haya ninguna instancia de una aplicación virtual en ejecución.

  • Asegúrese de que ha habilitado Garantizar SPAN en el puerto de datos del conmutador virtual y no en el puerto de administración.

  • Asegurarse de que la configuración de SPAN del puerto de datos no está definida con una dirección IP.

Configuración de un puerto de creación de reflejo de tráfico con Hyper-V

  1. Abra el Administrador de conmutadores virtuales.

  2. En la lista Conmutadores virtuales, seleccione Nuevo conmutador de red virtual>Externo como el tipo de adaptador de red distribuido dedicado.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Seleccione Crear conmutador virtual.

  4. En el área Tipo de conexión, seleccione Red externa y asegúrese de que la opción Permitir que el sistema operativo de administración comparta este adaptador de red está seleccionada. Por ejemplo:

    Screenshot of the External network option.

  5. Seleccione Aceptar.

Asociación de una interfaz virtual SPAN al conmutador virtual

Use Windows PowerShell o el Administrador de Hyper-V para asociar una interfaz virtual SPAN al conmutador virtual que creó anteriormente.

Si usa PowerShell, defina el nombre del hardware del adaptador recién agregado como Monitor. Si usa el administrador de Hyper-V, el nombre del hardware del adaptador recién agregado se establece en Network Adapter.

Asocie una interfaz virtual SPAN al conmutador virtual con PowerShell

  1. Seleccione el conmutador virtual SPAN recién agregado que configuró anteriormente, y ejecute el siguiente comando para agregar un nuevo adaptador de red:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Habilite la creación de reflejo del puerto para la interfaz seleccionada como destino de la distribución con el siguiente comando:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Donde:

    Parámetro Descripción
    VK-C1000V-LongRunning-650 Nombre de CPPM VA
    vSwitch_Span Nombre del conmutador virtual SPAN recién agregado
    Supervisión Nombre del adaptador recién agregado
  3. Cuando finalice, seleccione Aceptar.

Asocie una interfaz virtual SPAN al conmutador virtual con el administrador de Hyper-V

  1. En la lista Hardware del administrador de Hyper-V, seleccione Adaptador de red.

  2. En el campo Conmutador virtual, seleccione vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. En la lista Hardware, en la lista desplegable Adaptador de red, seleccione Aceleración de hardware y desactive la opción Cola de máquinas virtuales para la interfaz de red de supervisión (SPAN).

  4. En la lista Hardware, en la lista desplegable Adaptador de red, seleccione Características avanzadas. En la sección Creación de reflejo del puerto, seleccione Destino como modo de creación de reflejo para la nueva interfaz virtual.

    Screenshot of the selections needed to configure mirroring mode.

  5. Seleccione Aceptar.

Activar las extensiones de captura de NDIS de Microsoft

Active la compatibilidad con las extensiones de captura de NDIS de Microsoft para el conmutador virtual que creó anteriormente.

Para habilitar las extensiones de captura de NDIS de Microsoft para el conmutador virtual nuevo:

  1. Abra el Administrador de conmutador virtual en el host de Hyper-V.

  2. En la lista Conmutadores virtuales, expanda el nombre del conmutador virtual vSwitch_Span y seleccione Extensiones.

  3. En el campo Extensiones de conmutador, seleccione Captura de NDIS de Microsoft.

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Seleccione Aceptar.

Configurar el modo de creación de reflejo del conmutador

Configure el modo de creación de reflejo en el conmutador virtual que creó anteriormente para que el puerto externo se defina como origen de creación de reflejo. Esto incluye configurar el conmutador virtual de Hyper-V (vSwitch_Span) para reenviar cualquier tráfico que llegue al puerto de origen externo a un adaptador de red virtual configurado como destino.

Para establecer el puerto externo del conmutador virtual como modo de reflejo de origen, ejecute:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Donde:

Parámetro Descripción
vSwitch_Span Nombre del conmutador virtual que creó anteriormente
MonitorMode=2 Source
MonitorMode=1 Destination
MonitorMode=0 Ninguno

Para comprobar el estado del modo de supervisión, ejecute:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parámetro Descripción
vSwitch_Span Nombre del conmutador virtual SPAN recién agregado

Validar la creación de reflejo del tráfico

Después de configurar la creación de reflejo del tráfico, intente recibir un ejemplo de tráfico grabado (archivo PCAP) desde el puerto SPAN o reflejo del conmutador.

Un archivo PCAP de ejemplo le ayudará a:

  • Validar la configuración del conmutador
  • Confirmar que el tráfico que pasa por el conmutador es relevante para la supervisión
  • Identificar el ancho de banda y una cantidad estimada de dispositivos detectados por el conmutador
  1. Use una aplicación de analizador de protocolos de red, como Wireshark, para registrar un archivo PCAP de ejemplo durante unos minutos. Por ejemplo, conecte un portátil a un puerto en el que haya configurado la supervisión del tráfico.

  2. Compruebe que los paquetes de unidifusión estén presentes en el tráfico de la grabación. El tráfico de unidifusión es el que se envía de una dirección a otra.

    Si la mayor parte del tráfico son mensajes ARP, la configuración de creación de reflejo del tráfico no es correcta.

  3. Compruebe que los protocolos de OT estén presentes en el tráfico analizado.

    Por ejemplo:

    Screenshot of Wireshark validation.

Pasos siguientes