Konfigurowanie dublowania ruchu przy użyciu portu Remote SPAN (RSPAN)
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT.
W tym artykule opisano przykładową procedurę konfigurowania funkcji RSPAN na przełączniku Cisco 2960 z 24 portami z systemem IOS.
Ważne
Ten artykuł jest przeznaczony tylko jako wskazówki, a nie jako instrukcje. Porty dublowane w innych systemach operacyjnych Cisco i innych markach przełączników są konfigurowane inaczej. Aby uzyskać więcej informacji, zobacz dokumentację przełącznika.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że rozumiesz plan monitorowania sieci za pomocą usługi Defender dla IoT i portów SPAN, które chcesz skonfigurować.
Aby uzyskać więcej informacji, zobacz Metody dublowania ruchu na potrzeby monitorowania OT.
Funkcja RSPAN wymaga określonej sieci VLAN do przenoszenia monitorowanego ruchu SPAN między przełącznikami. Przed rozpoczęciem upewnij się, że przełącznik obsługuje funkcję RSPAN.
Upewnij się, że opcja dublowania na przełączniku jest wyłączona.
Upewnij się, że zdalna sieć VLAN jest dozwolona na porcie magistrali między przełącznikami źródłowymi i docelowymi.
Upewnij się, że wszystkie przełączniki łączące się z tą samą sesją RSPAN pochodzą od tego samego dostawcy.
Upewnij się, że port magistrali współużytkujący tę samą zdalną sieć VLAN między przełącznikami nie jest jeszcze zdefiniowany jako port źródłowy sesji dublowania.
Zdalna sieć VLAN zwiększa przepustowość na porcie magistralnym o ilość ruchu dublowanego z sesji źródłowej. Upewnij się, że port magistrali przełącznika może obsługiwać zwiększoną przepustowość.
Uwaga
Zwiększona przepustowość, zarówno ze względu na dużą przepływność, jak i dużą liczbę przełączników, może spowodować awarię przełącznika i w związku z tym obniżyć całą sieć. Podczas konfigurowania dublowania ruchu przy użyciu funkcji RSPAN należy wziąć pod uwagę następujące kwestie:
- Liczba przełączników dostępu/dystrybucji skonfigurowanych za pomocą funkcji RSPAN.
- Skorelowana przepływność zdalnej sieci VLAN na każdym przełączniku.
Konfigurowanie przełącznika źródłowego
Na przełączniku źródłowym:
Wprowadź
global configurationtryb i utwórz nową dedykowaną sieć VLAN.Zidentyfikuj nową sieć VLAN jako sieć VLAN RSPAN, a następnie wróć do
configure terminaltrybu.Skonfiguruj wszystkie 24 porty jako źródła sesji.
Skonfiguruj sieć VLAN RSPAN jako miejsce docelowe sesji.
Wróć do trybu uprzywilejowanego
EXECi sprawdź konfigurację dublowania portów.
Konfigurowanie przełącznika docelowego
Na przełączniku docelowym:
Wprowadź
global configurationtryb i skonfiguruj sieć VLAN RSPAN jako źródło sesji.Skonfiguruj port fizyczny 24 jako miejsce docelowe sesji.
Wróć do trybu uprzywilejowanego
EXECi sprawdź konfigurację dublowania portów.Zapisz konfigurację.
Weryfikowanie dublowania ruchu
Po skonfigurowaniu dublowania ruchu spróbuj odebrać próbkę zarejestrowanego ruchu (plik PCAP) z przełącznika SPAN lub portu dublowanego.
Przykładowy plik PCAP pomoże Ci:
- Weryfikowanie konfiguracji przełącznika
- Upewnij się, że ruch przechodzący przez przełącznik jest odpowiedni do monitorowania
- Identyfikowanie przepustowości i szacowanej liczby urządzeń wykrytych przez przełącznik
Użyj aplikacji analizatora protokołu sieciowego, takiej jak Wireshark, aby zarejestrować przykładowy plik PCAP przez kilka minut. Na przykład podłącz laptopa do portu, na którym skonfigurowano monitorowanie ruchu.
Sprawdź, czy pakiety emisji pojedynczej znajdują się w ruchu rejestrującym. Ruch emisji pojedynczej jest wysyłany z adresu do innego.
Jeśli większość ruchu to komunikaty ARP, konfiguracja dublowania ruchu nie jest poprawna.
Sprawdź, czy protokoły OT znajdują się w analizowanym ruchu.
Na przykład:
