ESXi vSwitch を使ってトラフィック ミラーリングを構成する
この記事は、Microsoft Defender for IoT を使用した OT 監視のデプロイ パスについて説明するシリーズ記事の 1 つです。
この記事では、SPAN ポートと同様に、トラフィック ミラーリングを構成するための回避策として、ESXi vSwitch 環境で "無作為検出モード" を使用する方法について説明します。 スイッチの SPAN ポートにより、スイッチ上のインターフェイスから同じスイッチ上の別のインターフェイスにローカル トラフィックをミラーリングすることができます。
詳細については、「仮想スイッチを使用したトラフィック ミラーリング」に関するページを参照してください。
前提条件
開始する前に、Defender for IoT を使用したネットワーク監視の計画と、構成する SPAN ポートについて理解していることを確認してください。
詳細については、OT モニタリングのためのトラフィック ミラーリング方法に関するページを参照してください。
無作為検出モードを使って監視インターフェイスを構成する
ESXi v-Switch 上で 無作為検出モードを使って監視インターフェイスを構成するには、次の手順を実行します。
[vSwitch のプロパティ] ページを開き、[標準仮想スイッチの追加] を選びます。
ネットワーク ラベルとして「SPAN Network」と入力します。
[MTU] フィールドに「4096」と入力します。
[セキュリティ] を選択し、 [Promiscuous Mode](無作為検出モード) ポリシーが [Accept](承認) モードに設定されていることを確認します。
[追加] を選び、[vSwitch のプロパティ] を閉じます。
先ほど作成した vSwitch を強調表示し、[アップリンクの追加] を選びます。
SPAN トラフィックに使用する物理 NIC を選び、MTU を「4096」に変更して、[保存] を選びます。
[ポート グループ のプロパティ] ページを開き、[ポート グループの追加] を選びます。
名前に「SPAN ポート グループ」、VLAN ID に「4095」を入力して、[vSwitch] ドロップダウンで [SPAN ネットワーク] を選び、[追加] を選びます。
OT センサー VM のプロパティを開きます。
[Network Adapter 2](ネットワーク アダプター 2) で [SPAN] ネットワークを選択します。
[OK] を選択します。
センサーに接続し、ミラーリングが動作していることを確認します。
トラフィック ミラーリングを検証する
トラフィック ミラーリングを構成したら、スイッチの SPAN (またはミラー) ポートから記録されたトラフィック (PCAP ファイル) のサンプルの受信を試みます。
サンプルの PCAP ファイルは、次の場合に役立ちます。
- スイッチの構成を検証する
- スイッチを通過するトラフィックが監視に関連していることを確認する
- スイッチによって検出されたデバイスの帯域幅と推定数を特定する
Wireshark などのネットワーク プロトコル アナライザー アプリケーションを使用して、サンプル PCAP ファイルを数分間記録します。 たとえば、トラフィック監視を構成したポートにノート PC を接続します。
記録するトラフィックにユニキャスト パケットがあることを確認します。 ユニキャスト トラフィックは、アドレスから別のアドレスに送信されるトラフィックです。
ほとんどのトラフィックが ARP メッセージの場合は、トラフィック ミラーリングの構成が正しくありません。
分析されたトラフィックに OT プロトコルが存在することを確認します。
次に例を示します。
