Cisco スイッチを使用して ERSPAN トラフィック ミラーリングを構成する

この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。

この記事では、Cisco スイッチ用のカプセル化されたリモート スイッチド ポート アナライザ (ERSPAN) のトラフィック ミラーリングを構成するための大まかなガイダンスを提供します。

受信ルーターを Generic Routing Encapsulation (GRE) トンネル宛先として使用することをお勧めします。

前提条件

開始する前に、Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。

詳細については、OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください。

Cisco スイッチを構成する

次のコードは、Cisco スイッチに構成された ERSPAN の ifconfig 出力例を示しています。

monitor session 1 type erspan-source
description ERSPAN to D4IoT
erspan-id 32                              # required, # between 1-1023
vrf default                               # required
destination ip 172.1.2.3                  # IP address of destination
source interface port-channel1 both       # Port(s) to be sniffed
filter vlan 1                             # limit VLAN(s) (optional)
no shut                                   # enable

monitor erspan origin ip-address 172.1.2.1 global

詳細については、「OT ネットワーク センサーからの CLI コマンド リファレンス」を参照してください。

トラフィック ミラーリングを検証する

トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。

サンプルの PCAP ファイルは、次の場合に役立ちます。

• スイッチの構成を検証する
• スイッチを通過するトラフィックが監視に関連していることを確認する
• スイッチによって検出されたデバイスの帯域幅と推定数を特定する

1. Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。

2. 記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。

   ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。

3. 分析されたトラフィックに OT プロトコルが存在することを確認します。

   次に例を示します。

   

OT ネットワーク センサーに ERSPAN を構成する

センサーをデプロイした後、必ず [インターフェイスの構成] ページで ERSPAN 設定を構成してください。 詳細については、次を参照してください。

• デプロイ ウィザードの GUI: 監視するインターフェイスの定義
• OT センサー システム設定で: センサーの監視インターフェイスの更新 (ERSPAN の構成)

次に例を示します。

次のステップ