Configurar o espelhamento de tráfego com um vSwitch Hyper-V
Este artigo é um de uma série de artigos que descrevem o caminho de implantação para monitoramento de OT com o Microsoft Defender for IoT.
Este artigo descreve como usar o modo promíscuo em um ambiente Hyper-V Vswitch como uma solução alternativa para configurar o espelhamento de tráfego, semelhante a uma porta SPAN. Uma porta SPAN no switch espelha o tráfego local das interfaces no switch para uma interface diferente no mesmo switch.
Para obter mais informações, consulte Espelhamento de tráfego com comutadores virtuais.
Pré-requisitos
Antes de começar:
Certifique-se de entender seu plano de monitoramento de rede com o Defender for IoT e as portas SPAN que deseja configurar.
Para obter mais informações, consulte Métodos de espelhamento de tráfego para monitoramento de OT.
Certifique-se de que não há nenhuma instância de um dispositivo virtual em execução.
Certifique-se de que ativou Garantir SPAN na porta de dados do comutador virtual e não na porta de gestão.
Verifique se a configuração do SPAN da porta de dados não está configurada com um endereço IP.
Criar novo comutador virtual Hyper-V para retransmitir o tráfego espelhado para a VM
Criar um novo comutador virtual com o PowerShell
New-VMSwitch -Name vSwitch_Span -NetAdapterName Ethernet -AllowManagementOS:$true
Em que:
| Parâmetro | Description |
|---|---|
| vSwitch_Span | Nome do comutador virtual SPAN recém-adicionado |
| Ethernet | Nome do adaptador físico |
Saiba como Criar e configurar um comutador virtual com o Hyper-V
Criar um novo comutador virtual com o Gerenciador do Hyper-V
Abra o Virtual Switch Manager.
Na lista Comutadores virtuais, selecione Novo comutador>de rede virtual externo como o tipo de adaptador de rede estendido dedicado.
Selecione Criar Comutador Virtual.
Na área Tipo de conexão, selecione Rede externa e verifique se a opção Permitir que o sistema operacional de gerenciamento compartilhe este adaptador de rede está selecionada. Por exemplo:
Selecione OK.
Anexar uma interface virtual SPAN ao comutador virtual
Use o Windows PowerShell ou o Gerenciador do Hyper-V para anexar uma interface virtual SPAN ao comutador virtual criado anteriormente.
Se você usar o PowerShell, defina o nome do hardware do adaptador recém-adicionado como Monitor. Se você usar o Gerenciador do Hyper-V, o nome do hardware do adaptador recém-adicionado será definido como Network Adapter.
Anexar uma interface virtual SPAN ao comutador virtual com o PowerShell
Selecione o comutador virtual SPAN recém-adicionado criado anteriormente e execute o seguinte comando para adicionar um novo adaptador de rede:
ADD-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 -Name Monitor -SwitchName vSwitch_SpanHabilite o espelhamento de porta para a interface selecionada como o destino span com o seguinte comando:
Get-VMNetworkAdapter -VMName VK-C1000V-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring DestinationEm que:
Parâmetro Description VK-C1000V-LongRunning-650 Nome do CPPM VA vSwitch_Span Nome do comutador virtual SPAN recém-adicionado Monitorizar Nome do adaptador recém-adicionado Quando tiver terminado, selecione OK.
Anexar uma interface virtual SPAN ao comutador virtual com o Gerenciador do Hyper-V
Na lista Hardware do Gerenciador do Hyper-V, selecione Adaptador de Rede.
No campo Comutador virtual, selecione vSwitch_Span.
Na lista Hardware, na lista suspensa Adaptador de rede, selecione Recursos avançados. Na seção Espelhamento de Porta, selecione Destino como o modo de espelhamento para a nova interface virtual.
Selecione OK.
Ativar extensões de captura do Microsoft NDIS com o PowerShell
Ative o suporte para Microsoft NDIS Capture Extensions para o comutador virtual criado anteriormente.
Para habilitar as extensões de captura NDIS da Microsoft para seu novo comutador virtual:
Enable-VMSwitchExtension -VMSwitchName vSwitch_Span -Name "Microsoft NDIS Capture"
Ativar extensões de captura do Microsoft NDIS com o Gerenciador do Hyper-V
Ative o suporte para Microsoft NDIS Capture Extensions para o comutador virtual criado anteriormente.
Para habilitar as extensões de captura NDIS da Microsoft para seu novo comutador virtual:
Abra o Gerenciador de Comutador Virtual no host Hyper-V.
Na lista Comutadores Virtuais, expanda o nome
vSwitch_Spando comutador virtual e selecione Extensões.No campo Extensões de Comutador, selecione Captura Microsoft NDIS.
Selecione OK.
Configurar o modo de espelhamento do switch
Configure o modo de espelhamento no comutador virtual criado anteriormente para que a porta externa seja definida como a origem do espelhamento. Isso inclui configurar o comutador virtual Hyper-V (vSwitch_Span) para encaminhar qualquer tráfego que chegue à porta de origem externa para um adaptador de rede virtual configurado como destino.
Para definir a porta externa do comutador virtual como o modo de espelho de origem, execute:
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings"
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
Em que:
| Parâmetro | Description |
|---|---|
| vSwitch_Span | Nome do comutador virtual criado anteriormente |
| MonitorMode=2 | Origem |
| MonitorMode=1 | Destino |
| MonitorMode=0 | Nenhuma |
Para verificar o status do modo de monitoramento, execute:
Get-VMSwitchExtensionPortFeature -FeatureName "Ethernet Switch Port Security Settings" -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
| Parâmetro | Description |
|---|---|
| vSwitch_Span | Nome do comutador virtual SPAN recém-adicionado |
Definir configurações de VLAN para o adaptador Monitor (se necessário)
Se o servidor Hyper-V estiver localizado em uma VLAN diferente da VLAN da qual o tráfego espelhado se origina, defina o adaptador Monitor para aceitar o tráfego das VLANs espelhadas.
Use este comando do PowerShell para permitir que o adaptador Monitor aceite o tráfego monitorado de VLANs diferentes:
Set-VMNetworkAdapterVlan -VMName VK-C1000V-LongRunning-650 -VMNetworkAdapterName Monitor -Trunk -AllowedVlanIdList 1010-1020 -NativeVlanId 10
Em que:
| Parâmetro | Description |
|---|---|
| VK-C1000V-LongRunning-650 | Nome do CPPM VA |
| 1010-1020 | Intervalo de VLAN a partir do qual o tráfego IoT é espelhado |
| 10 | ID de VLAN nativa do ambiente |
Saiba mais sobre o cmdlet Set-VMNetworkAdapterVlan PowerShell.
Validar o espelhamento de tráfego
Depois de configurar o espelhamento de tráfego, tente receber uma amostra de tráfego gravado (arquivo PCAP) do SPAN do switch ou da porta espelhada.
Um arquivo PCAP de exemplo irá ajudá-lo a:
- Validar a configuração do switch
- Confirme se o tráfego que passa pelo seu comutador é relevante para a monitorização
- Identificar a largura de banda e um número estimado de dispositivos detetados pelo switch
Use um aplicativo analisador de protocolo de rede, como o Wireshark, para gravar um arquivo PCAP de amostra por alguns minutos. Por exemplo, conecte um laptop a uma porta onde você configurou o monitoramento de tráfego.
Verifique se os pacotes Unicast estão presentes no tráfego de gravação. Tráfego unicast é o tráfego enviado de endereço para outro.
Se a maior parte do tráfego for de mensagens ARP, sua configuração de espelhamento de tráfego não está correta.
Verifique se seus protocolos OT estão presentes no tráfego analisado.
Por exemplo:
