使用 ESXi vSwitch 設定流量鏡像

本文是一系列文章的其中一篇，描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑。

本文描述如何在 ESXi vSwitch 環境中使用混合模式作為設定流量鏡像的因應措施，類似於 SPAN 連接埠。 交換器上的 SPAN 連接埠會將交換器上介面的本地流量鏡像處理到相同交換器上的不同介面。

如需詳細資訊，請參閱使用虛擬交換器進行流量鏡像。

必要條件

開始之前，請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視，以及您想要設定的 SPAN 連接埠。

如需詳細資訊，請參閱 用於 OT 監視的流量鏡像方法。

使用混合模式設定監視介面

若要在 ESXi v-Switch 上設定具有混合模式的監視介面：

1. 開啟 vSwitch 屬性頁面，然後選取 [新增標準虛擬交換器]。

2. 輸入 [SPAN 網路] 作為網路標籤。

3. 在 MTU 欄位中，輸入 4096。

4. 選取 [安全性]，並確認混合模式原則已設定為 [接受] 模式。

5. 選取 [新增] 以關閉 vSwitch 屬性。

6. 醒目提示您剛剛建立的 vSwitch，然後選取 [新增上行連結]。

7. 選取您將用於 SPAN 流量的實體 NIC、將 MTU 變更為 4096，然後選取 [儲存]。

8. 開啟 [連接埠群組] 屬性頁面，然後選取 [新增連接埠群組]。

9. 輸入 SPAN 連接埠群組作為名稱，輸入 4095 作為 VLAN 識別碼，在 vSwitch 下拉式清單中選取 [SPAN 網络]，然後選取 [新增]。

10. 開啟 OT 感應器 VM 屬性。

11. 針對網路介面卡 2，選取 [SPAN] 網路。

12. 選取 [確定]。

13. 連線至感應器，並確認鏡像正常運作。

驗證流量鏡像

設定流量鏡像之後，嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您：

• 驗證交換器設定
• 確認通過交換器的流量與監視相關
• 識別交換器偵測到的頻寬和估計裝置數目

1. 使用網路通訊協定分析器應用程式，例如 Wireshark，記錄範例 PCAP 檔案幾分鐘的時間。 例如，將膝上型電腦連線到您已設定流量監視的連接埠。

2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

   如果大部分的流量都是 ARP 訊息，表示流量鏡像設定不正確。

3. 確認您的 OT 通訊協定存在於分析的流量中。

   例如：

   

下一步