Configurare il mirroring del traffico con una porta REMOTE SPAN (RSPAN)

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagram of a progress bar with Network level deployment highlighted.

Questo articolo descrive una procedura di esempio per la configurazione di RSPAN in un commutatore Cisco 2960 con 24 porte che eseguono IOS.

Importante

Questo articolo è destinato solo come materiale sussidiario e non come istruzioni. Le porte mirror in altri sistemi operativi Cisco e altri marchi switch sono configurate in modo diverso. Per altre informazioni, vedere la documentazione del commutatore.

Prerequisiti

  • Prima di iniziare, assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.

    Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.

  • RSPAN richiede una VLAN specifica per trasportare il traffico SPAN monitorato tra commutatori. Prima di iniziare, assicurarsi che il commutatore supporti RSPAN.

  • Assicurarsi che l'opzione di mirroring sul commutatore sia disattivata.

  • Assicurarsi che la VLAN remota sia consentita sulla porta trunk tra i commutatori di origine e di destinazione.

  • Assicurarsi che tutti i commutatori che si connettono alla stessa sessione RSPAN provenano dallo stesso fornitore.

  • Assicurarsi che la porta trunk che condivide la stessa VLAN remota tra commutatori non sia già definita come porta di origine della sessione mirror.

  • La VLAN remota aumenta la larghezza di banda sulla porta trunk in base alla quantità di traffico di cui viene eseguito il mirroring dalla sessione di origine. Assicurarsi che la porta trunk del commutatore possa supportare l'aumento della larghezza di banda.

Attenzione

Una maggiore larghezza di banda, a causa di grandi quantità di velocità effettiva o di un numero elevato di commutatori, può causare un errore di un commutatore e quindi arrestare l'intera rete. Quando si configura il mirroring del traffico con RSPAN, assicurarsi di considerare quanto segue:

  • Numero di commutatori di accesso/distribuzione configurati con RSPAN.
  • Velocità effettiva correlata per la VLAN remota in ogni commutatore.

Configurare l'opzione di origine

Nel commutatore di origine:

  1. Immettere global configuration la modalità e creare una nuova VLAN dedicata.

  2. Identificare la nuova VLAN come VLAN RSPAN e quindi tornare alla configure terminal modalità.

  3. Configurare tutte le 24 porte come origini sessione.

  4. Configurare la VLAN RSPAN come destinazione della sessione.

  5. Tornare alla modalità con privilegi EXEC e verificare la configurazione del mirroring delle porte.

Configurare l'opzione di destinazione

Nel commutatore di destinazione:

  1. Immettere global configuration la modalità e configurare la VLAN RSPAN come origine della sessione.

  2. Configurare la porta fisica 24 come destinazione della sessione.

  3. Tornare alla modalità con privilegi EXEC e verificare la configurazione del mirroring delle porte.

  4. Fare clic su Salva per salvare la configurazione.

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dalla porta SPAN o mirror del commutatore.

Un file PCAP di esempio consente di:

  • Convalidare la configurazione del commutatore
  • Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
  • Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore
  1. Usare un'applicazione analizzatore del protocollo di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

  2. Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Il traffico Unicast viene inviato dall'indirizzo a un altro.

    Se la maggior parte del traffico è messaggi ARP, la configurazione del mirroring del traffico non è corretta.

  3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

    Ad esempio:

    Screenshot of Wireshark validation.

Passaggi successivi