Configurar o espelhamento de tráfego com uma porta RSPAN (Remote SPAN)
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.
Este artigo descreve um procedimento de exemplo para configurar o RSPAN em um switch Cisco 2960 com 24 portas executando IOS.
Importante
Este artigo destina-se apenas como orientação e não como instruções. As portas espelhadas em outros sistemas operacionais Cisco e outras marcas de switch são configuradas de forma diferente. Para obter mais informações, consulte a documentação do switch.
Pré-requisitos
Antes de começar, certifique-se de entender seu plano de monitoramento de rede com o Defender for IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
O RSPAN requer uma VLAN específica para transportar o tráfego SPAN monitorado entre switches. Antes de começar, certifique-se de que o comutador suporta RSPAN.
Certifique-se de que a opção de espelhamento no comutador está desligada.
Verifique se a VLAN remota é permitida na porta troncalizada entre os switches de origem e de destino.
Certifique-se de que todos os switches que se conectam à mesma sessão RSPAN são do mesmo fornecedor.
Verifique se a porta de tronco que compartilha a mesma VLAN remota entre switches ainda não está definida como uma porta de origem de sessão espelhada.
A VLAN remota aumenta a largura de banda na porta troncalizada pela quantidade de tráfego que está sendo espelhado da sessão de origem. Certifique-se de que a porta de tronco do switch possa suportar o aumento da largura de banda.
Atenção
Um aumento da largura de banda, seja devido a grandes quantidades de taxa de transferência ou a um grande número de switches, pode fazer com que um switch falhe e, portanto, derrube toda a rede. Ao configurar o espelhamento de tráfego com RSPAN, considere o seguinte:
- O número de comutadores de acesso/distribuição que você configura com o RSPAN.
- A taxa de transferência correlacionada para a VLAN remota em cada switch.
Configurar a opção de origem
No comutador de origem:
Entre no
global configurationmodo e crie uma nova VLAN dedicada.Identifique sua nova VLAN como a VLAN RSPAN e retorne ao
configure terminalmodo.Configure todas as 24 portas como fontes de sessão.
Configure a VLAN RSPAN para ser o destino da sessão.
Retorne ao modo privilegiado
EXECe verifique a configuração de espelhamento de porta.
Configurar a opção de destino
No interruptor de destino:
Entre no
global configurationmodo e configure a VLAN RSPAN para ser a origem da sessão.Configure a porta física 24 para ser o destino da sessão.
Retorne ao modo privilegiado
EXECe verifique a configuração de espelhamento de porta.Guardar a configuração.
Validar o espelhamento de tráfego
Depois de configurar o espelhamento de tráfego, tente receber uma amostra de tráfego gravado (arquivo PCAP) do SPAN do switch ou da porta espelhada.
Um arquivo PCAP de exemplo irá ajudá-lo a:
- Validar a configuração do switch
- Confirme se o tráfego que passa pelo seu comutador é relevante para a monitorização
- Identificar a largura de banda e um número estimado de dispositivos detetados pelo switch
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para gravar um arquivo PCAP de amostra por alguns minutos. Por exemplo, conecte um laptop a uma porta onde você configurou o monitoramento de tráfego.
Verifique se os pacotes Unicast estão presentes no tráfego de gravação. Tráfego unicast é o tráfego enviado de endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, sua configuração de espelhamento de tráfego não está correta.
Verifique se seus protocolos OT estão presentes no tráfego analisado.
Por exemplo:
