Configurare il mirroring del traffico con un vSwitch Hyper-V

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagram of a progress bar with Network level deployment highlighted.

Questo articolo descrive come usare la modalità Promiscuous in un ambiente Vswitch Hyper-V come soluzione alternativa per la configurazione del mirroring del traffico, simile a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.

Per altre informazioni, vedere Mirroring del traffico con commutatori virtuali.

Prerequisiti

Prima di iniziare:

  • Assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.

    Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.

  • Assicurarsi che non sia in esecuzione alcuna istanza di un'appliance virtuale.

  • Assicurarsi di aver abilitato l'opzione Span sulla porta dati del commutatore virtuale e non sulla porta di gestione.

  • Assicurarsi che la configurazione SPAN della porta dati non sia configurata con un indirizzo IP.

Configurare una porta di mirroring del traffico con Hyper-V

  1. Aprire Gestione commutatori virtuali.

  2. Nell'elenco Commutatori virtuali selezionare Nuovo commutatore di rete virtuale Esterno> come tipo di scheda di rete estesa dedicata.

    Screenshot of selecting new virtual network and external before creating the virtual switch.

  3. Selezionare Crea commutatore virtuale.

  4. Nell'area tipo di Connessione selezionare Rete esterna e assicurarsi che sia selezionata l'opzione Consenti al sistema operativo di gestione di condividere questa scheda di rete. Ad esempio:

    Screenshot of the External network option.

  5. Seleziona OK.

Collegare un'interfaccia virtuale SPAN al commutatore virtuale

Usare Windows PowerShell o la console di gestione di Hyper-V per collegare un'interfaccia virtuale SPAN al commutatore virtuale creato in precedenza.

Se si usa PowerShell, definire il nome dell'hardware dell'adattatore appena aggiunto come Monitor. Se si usa la console di gestione di Hyper-V, il nome dell'hardware della scheda appena aggiunto è impostato su Network Adapter.

Collegare un'interfaccia virtuale SPAN al commutatore virtuale con PowerShell

  1. Selezionare il commutatore virtuale SPAN appena aggiunto configurato in precedenza ed eseguire il comando seguente per aggiungere una nuova scheda di rete:

    ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
    
  2. Abilitare il mirroring delle porte per l'interfaccia selezionata come destinazione span con il comando seguente:

    Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
    

    Dove:

    Parametro Descrizione
    VK-C1000V-LongRunning-650 CPPM VA name (Nome va CPPM)
    vSwitch_Span Nome del commutatore virtuale SPAN appena aggiunto
    Monitoraggio Nome dell'adattatore appena aggiunto
  3. Al termine, seleziona OK.

Collegare un'interfaccia virtuale SPAN al commutatore virtuale con la console di gestione di Hyper-V

  1. Nell'elenco Hardware della console di gestione di Hyper-V selezionare Scheda di rete.

  2. Nel campo Commutatore virtuale selezionare vSwitch_Span.

    Screenshot of selecting the following options on the virtual switch screen.

  3. Nell'elenco Hardware, nell'elenco a discesa Scheda di rete selezionare Accelerazione hardware e deselezionare l'opzione Coda macchine virtuali per l'interfaccia di rete di monitoraggio.

  4. Nell'elenco a discesa Scheda di rete dell'elenco a discesa Hardware selezionare Funzionalità avanzate. Nella sezione Mirroring delle porte selezionare Destinazione come modalità di mirroring per la nuova interfaccia virtuale.

    Screenshot of the selections needed to configure mirroring mode.

  5. Seleziona OK.

Attivare le estensioni di acquisizione di Microsoft NDIS

Attivare il supporto per le estensioni di acquisizione di Microsoft NDIS per il commutatore virtuale creato in precedenza.

Per abilitare le estensioni di acquisizione di Microsoft NDIS per il nuovo commutatore virtuale:

  1. Aprire Virtual Switch Manager nell'host Hyper-V.

  2. Nell'elenco Commutatori virtuali espandere il nome vSwitch_Span del commutatore virtuale e selezionare Estensioni.

  3. Nel campo Switch Extensions (Estensioni switch) selezionare Microsoft NDIS Capture (Acquisizione NDIS Microsoft).

    Screenshot of enabling the Microsoft NDIS by selecting it from the switch extensions menu.

  4. Seleziona OK.

Configurare la modalità di mirroring dell'opzione

Configurare la modalità di mirroring sul commutatore virtuale creato in precedenza in modo che la porta esterna sia definita come origine del mirroring. Ciò include la configurazione del commutatore virtuale Hyper-V (vSwitch_Span) per inoltrare qualsiasi traffico proveniente dalla porta di origine esterna a una scheda di rete virtuale configurata come destinazione.

Per impostare la porta esterna del commutatore virtuale come modalità mirror di origine, eseguire:

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

Dove:

Parametro Descrizione
vSwitch_Span Nome del commutatore virtuale creato in precedenza
MonitorMode=2 Origine
MonitorMode=1 Destinazione
MonitorMode=0 None

Per verificare lo stato della modalità di monitoraggio, eseguire:

Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
Parametro Descrizione
vSwitch_Span Nome del commutatore virtuale SPAN appena aggiunto

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dalla porta SPAN o mirror del commutatore.

Un file PCAP di esempio consente di:

  • Convalidare la configurazione del commutatore
  • Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
  • Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
  1. Usare un'applicazione analizzatore del protocollo di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

  2. Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Il traffico Unicast viene inviato dall'indirizzo a un altro.

    Se la maggior parte del traffico è messaggi ARP, la configurazione del mirroring del traffico non è corretta.

  3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

    Ad esempio:

    Screenshot of Wireshark validation.

Passaggi successivi