Configurare il mirroring del traffico con un VSWitch ESXi

  • Articolo

Questo articolo è uno di una serie di articoli che descrivono il percorso di distribuzione per il monitoraggio OT con Microsoft Defender per IoT.

Diagram of a progress bar with Network level deployment highlighted.

Questo articolo descrive come usare la modalità Promiscuous in un ambiente VSWitch ESXi come soluzione alternativa per la configurazione del mirroring del traffico, simile a una porta SPAN. Una porta SPAN sul commutatore rispecchia il traffico locale dalle interfacce sul commutatore a un'interfaccia diversa sullo stesso commutatore.

Per altre informazioni, vedere Mirroring del traffico con commutatori virtuali.

Prerequisiti

Prima di iniziare, assicurarsi di comprendere il piano per il monitoraggio della rete con Defender per IoT e le porte SPAN da configurare.

Per altre informazioni, vedere Metodi di mirroring del traffico per il monitoraggio OT.

Configurare un'interfaccia di monitoraggio usando la modalità promiscua

Per configurare un'interfaccia di monitoraggio con la modalità Promiscuous in un commutatore v-Switch ESXi:

  1. Aprire la pagina delle proprietà vSwitch e selezionare Aggiungi commutatore virtuale standard.

  2. Immettere SPAN Network come etichetta di rete.

  3. Nel campo MTU immettere 4096.

  4. Selezionare Sicurezza e verificare che il criterio Modalità promiscua sia impostato su Modalità di accettazione .

  5. Selezionare Aggiungi per chiudere le proprietà vSwitch.

  6. Evidenziare il vSwitch appena creato e selezionare Aggiungi uplink.

  7. Selezionare la scheda di interfaccia di rete fisica che verrà usata per il traffico SPAN, impostare MTU su 4096 e quindi selezionare Salva.

  8. Aprire la pagina delle proprietà Gruppo di porte e selezionare Aggiungi gruppo di porte.

  9. Immettere SPAN Port Group come nome, immettere 4095 come ID VLAN e selezionare SPAN Network (Rete SPAN) nell'elenco a discesa vSwitch e quindi selezionare Aggiungi.

  10. Aprire le proprietà della macchina virtuale del sensore OT.

  11. Per Scheda di rete 2 selezionare la rete SPAN .

  12. Seleziona OK.

  13. Connessione al sensore e verificare che il mirroring funzioni.

Convalidare il mirroring del traffico

Dopo aver configurato il mirroring del traffico, provare a ricevere un esempio di traffico registrato (file PCAP) dalla porta SPAN o mirror del commutatore.

Un file PCAP di esempio consente di:

  • Convalidare la configurazione del commutatore
  • Verificare che il traffico che attraversa il commutatore sia rilevante per il monitoraggio
  • Identificare la larghezza di banda e un numero stimato di dispositivi rilevati dal commutatore

  1. Usare un'applicazione analizzatore del protocollo di rete, ad esempio Wireshark, per registrare un file PCAP di esempio per alcuni minuti. Ad esempio, connettere un portatile a una porta in cui è stato configurato il monitoraggio del traffico.

  2. Verificare che i pacchetti Unicast siano presenti nel traffico di registrazione. Il traffico Unicast viene inviato dall'indirizzo a un altro.

    Se la maggior parte del traffico è messaggi ARP, la configurazione del mirroring del traffico non è corretta.

  3. Verificare che i protocolli OT siano presenti nel traffico analizzato.

    Ad esempio:

    Screenshot of Wireshark validation.

Passaggi successivi

« Eseguire l'onboarding dei sensori OT in Defender per IoT

Effettuare il provisioning dei sensori OT per la gestione del cloud »