Omówienie dublowania ruchu
Ten artykuł znajduje się w serii artykułów opisujących ścieżkę wdrażania monitorowania ot w usłudze Microsoft Defender dla IoT i zawiera omówienie procedur konfigurowania dublowania ruchu w sieci.
Wymagania wstępne
Przed skonfigurowaniem dublowania ruchu upewnij się, że wybrano lokalizacje czujników i metodę dublowania ruchu.
Lokalizacja czujnika
Zidentyfikuj najlepszą lokalizację, aby umieścić czujnik w sieci, aby monitorować ruch sieciowy i zapewnić najlepszą wartość odnajdywania i zabezpieczeń. Lokalizacja powinna zapewnić czujnikowi dostęp do następujących trzech ważnych typów ruchu sieciowego:
| Type | Opis |
|---|---|
| Ruch warstwy 2 (L2) | Ruch L2, który obejmuje protokoły, takie jak ARP i DHCP, jest krytycznym wskaźnikiem umieszczania czujnika. Dostęp do ruchu L2 oznacza również, że czujnik może zbierać dokładne i cenne dane dotyczące urządzeń sieci. Gdy czujnik jest poprawnie umieszczony, dokładnie przechwytuje adresy MAC urządzeń. Te istotne informacje zawierają wskaźniki dostawcy, co zwiększa zdolność czujnika do klasyfikowania urządzeń. |
| Protokoły OT | Protokoły OT są niezbędne do wyodrębniania szczegółowych informacji o urządzeniach w sieci. Te protokoły zapewniają kluczowe dane, które prowadzą do dokładnej klasyfikacji urządzeń. Analizując ruch protokołu OT, czujnik może zbierać szczegółowe informacje o każdym urządzeniu, takie jak jego model, wersja oprogramowania układowego i inne istotne cechy. Ten poziom szczegółowości jest niezbędny do utrzymania dokładnego i aktualnego spisu wszystkich urządzeń, co ma kluczowe znaczenie dla zarządzania siecią i zabezpieczeń. |
| Komunikacja z podsiecią wewnętrzną | Urządzenia sieci OT komunikują się w podsieci, a informacje znalezione w wewnętrznej komunikacji podsieci zapewniają jakość danych zebranych przez czujniki. Czujniki są umieszczane w miejscu, w którym mają dostęp do wewnętrznej komunikacji podsieci w celu monitorowania interakcji urządzeń, które często obejmują dane krytyczne. Przechwytując te pakiety danych, czujniki tworzą szczegółowy i dokładny obraz sieci. |
Aby uzyskać więcej informacji, zobacz umieszczanie czujników OT w sieci.
Metody dublowania ruchu
Istnieją trzy typy metod dublowania ruchu, z których każda jest przeznaczona dla określonych scenariuszy użycia. Wybierz najlepszą metodę na podstawie użycia i rozmiaru sieci.
| Typ dublowania | Switched Port Analyzer (SPAN) | Remote SPAN (RSPAN) | Hermetyzowane zdalne span (ERSPAN) |
|---|---|---|---|
| Scenariusz użycia | Idealne rozwiązanie do monitorowania i analizowania ruchu w ramach jednego przełącznika lub małego segmentu sieci. | Nadaje się do większych sieci lub scenariuszy, w których ruch musi być monitorowany w różnych segmentach sieci. | Idealne rozwiązanie do monitorowania ruchu w różnych lub geograficznie rozproszonych sieciach, w tym lokacji zdalnych. |
| Opis | SPAN to technika dublowania ruchu lokalnego używana w ramach jednego przełącznika lub stosu przełącznika. Umożliwia administratorom sieci duplikowanie ruchu z określonych portów źródłowych lub sieci VLAN do portu docelowego, na którym urządzenie monitorujące, takie jak czujnik sieciowy lub analizator, jest połączone. | Funkcja RSPAN rozszerza możliwości funkcji SPAN, umożliwiając dublowanie ruchu między wieloma przełącznikami. Jest ona przeznaczona dla środowisk, w których monitorowanie musi odbywać się za pośrednictwem różnych przełączników lub stosów przełączników. | ERSPAN krok dalej, hermetyzując ruch dublowany w pakietach gre (Generic Routing Encapsulation). Ta metoda umożliwia dublowanie ruchu w różnych segmentach sieci, a nawet w Internecie. |
| Konfigurowanie dublowania | - Porty źródłowe/sieci VLAN: skonfiguruj przełącznik do dublowania ruchu z wybranych portów lub sieci VLAN. - Port docelowy: ruch dublowany jest wysyłany do wyznaczonego portu na tym samym przełączniku. Ten port jest połączony z urządzeniem monitorowania. |
- Porty źródłowe/sieci VLAN: ruch jest dublowany z określonych portów źródłowych lub sieci VLAN na przełączniku źródłowym. - RSPAN VLAN: ruch dublowany jest wysyłany do specjalnej sieci VLAN RSPAN, która obejmuje wiele przełączników. - Port docelowy: ruch jest następnie wyodrębniany z tej sieci VLAN RSPAN na wyznaczonym porcie na przełączniku zdalnym, na którym jest podłączone urządzenie monitorujące. |
- Porty źródłowe/sieci VLAN: podobnie jak SPAN i RSPAN, ruch jest dublowany z określonych portów źródłowych lub sieci VLAN. - Hermetyzacja: ruch dublowany jest hermetyzowany w pakietach GRE, które można następnie kierować między sieciami IP. - Port docelowy: ruch hermetyzowany jest wysyłany do urządzenia monitorowania połączonego z portem docelowym, na którym pakiety GRE są decapsulatowane i analizowane. |
| Korzyści | - Prostota: łatwe do skonfigurowania i zarządzania. - Małe opóźnienie: ponieważ jest on ograniczony do jednego przełącznika, wprowadza minimalne opóźnienie. |
- Rozszerzone pokrycie: umożliwia monitorowanie między wieloma przełącznikami. - Elastyczność: może służyć do monitorowania ruchu z różnych części sieci. |
- Szerokie pokrycie: umożliwia monitorowanie różnych sieci IP i lokalizacji. - Elastyczność: można używać w scenariuszach, w których ruch musi być monitorowany w długich odległościach lub za pośrednictwem złożonych ścieżek sieciowych. |
| Ograniczenia | Zakres lokalny: ograniczony do monitorowania w ramach tego samego przełącznika, co może nie być wystarczające dla większych sieci. | Obciążenie sieci: potencjalnie zwiększa obciążenie sieci ze względu na ruch VLAN RSPAN. |
Podczas wybierania metody dublowania należy również wziąć pod uwagę następujące czynniki:
| Czynników | opis |
|---|---|
| Rozmiar i układ sieci | - SPAN nadaje się do monitorowania lokalnego. — RSPAN dla większych środowisk z wieloma przełącznikami - ERSPAN dla geograficznie rozproszonych lub złożonych sieci. |
| Ruch | Upewnij się, że wybrana metoda może obsługiwać ilość ruchu bez wprowadzania znacznego opóźnienia lub obciążenia sieciowego. |
| Wymagania dotyczące monitorowania | Określ, czy ruch jest przechwytywany lokalnie lub w różnych segmentach sieci i wybierz odpowiednią metodę. |
Procesy dublowania ruchu
Użyj jednej z następujących procedur, aby skonfigurować dublowanie ruchu w sieci:
Porty SPAN:
- Konfigurowanie dublowania przy użyciu portu SPAN przełącznika
- Konfigurowanie dublowania ruchu przy użyciu portu Remote SPAN (RSPAN)
- Aktualizowanie interfejsów monitorowania czujnika (konfigurowanie funkcji ERSPAN)
Przełączniki wirtualne:
- Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego ESXi
- Konfigurowanie dublowania ruchu za pomocą przełącznika wirtualnego funkcji Hyper-V
Usługa Defender dla IoT obsługuje również dublowanie ruchu przy użyciu konfiguracji interfejsu TAP. Aby uzyskać więcej informacji, zobacz Agregacja aktywna lub pasywna (TAP).