共用方式為

使用交換器 SPAN 連接埠來設定鏡像處理

  • 發行項

本文是一系列文章的其中一篇,描述使用適用於 IoT 的 Microsoft Defender 進行 OT 監視的部署路徑

Diagram of a progress bar with Network level deployment highlighted.

在交換器上設定 SPAN 連接埠,以將來自交換器上介面的本地流量鏡像處理到相同交換器上的不同介面。

此文章提供使用 Cisco CLI 或 GUI 來設定 SPAN 連接埠的範例設定處理和程序,適用於具有 24 個執行 IOS 之連接埠的 Cisco 2960 交換器。

重要

此文章僅供範例指引使用,而非作為指示使用。 其他 Cisco 作業系統和其他交換器品牌上的鏡像連接埠會以不同的方式設定。 如需詳細資訊,請參閱您的交換器文件。

必要條件

開始之前,請確定您已了解使用適用於 IoT 的 Defender 規劃網路監視,以及您想要設定的 SPAN 連接埠。

如需詳細資訊,請參閱 用於 OT 監視的流量鏡像方法

範例 CLI SPAN 連接埠設定 (Cisco 2960)

下列命令顯示透過 CLI 在 Cisco 2960 上設定 SPAN 連接埠的範例流程:

Cisco2960# configure terminal
Cisco2960(config)# monitor session 1 source interface fastehernet 0/2 - 23 rx
Cisco2960(config)# monitor session 1 destination interface fastethernet 0/24
Cisco2960(config)# end
Cisco2960# show monitor session 1
Cisco2960# running-copy startup-config

範例 GUI SPAN 連接埠設定 (Cisco 2960)

此程序描述透過 GUI 在 Cisco 2960 上設定 SPAN 連接埠的高階步驟。 如需詳細資訊,請參閱相關的 Cisco 文件。

從交換器的設定 GUI:

  1. 進入全域設定模式。
  2. 將前 23 個連接埠設定為工作階段來源,僅鏡像處理 RX 封包。
  3. 將連接埠 24 設定為工作階段目的地。
  4. 回到特殊權限 EXEC 模式。
  5. 確認連接埠鏡像設定。
  6. 儲存設定。

具有多個 VLAN 的範例 CLI SPAN 連接埠設定 (Cisco 2960)

適用於 IoT 的 Defender 可以監視您網路中設定的多個 VLAN,而不需任何額外設定,只要設定網路交換器以將 VLAN 標籤傳送至適用於 IoT 的 Defender 即可。

例如,必須在 Cisco 交換器上設定下列命令,才能支援在適用於 IoT 的 Defender 中監視 VLAN:

監視工作階段:下列命令會設定您的交換器以將 VLAN 傳送至 SPAN 連接埠。

monitor session 1 source interface Gi1/2
monitor session 1 filter packet type good Rx
monitor session 1 destination interface fastEthernet1/1 encapsulation dot1q

監視主幹連接埠 F.E.Gi1/1:下列命令會設定您的交換器以支援主幹連接埠上設定的 VLAN:

interface GigabitEthernet1/1
switchport trunk encapsulation dot1q
switchport mode trunk

驗證流量鏡像

設定流量鏡像之後,嘗試從交換器 SPAN 或鏡像連接埠接收 PCAP 檔案 (記錄的流量範例)。

範例 PCAP 檔案將會協助您:

  • 驗證交換器設定
  • 確認通過交換器的流量與監視相關
  • 識別交換器偵測到的頻寬和估計裝置數目

  1. 使用網路通訊協定分析器應用程式,例如 Wireshark,記錄範例 PCAP 檔案幾分鐘的時間。 例如,將膝上型電腦連線到您已設定流量監視的連接埠。

  2. 檢查記錄流量中是否有單點傳播封包。 單點傳播流量是從位址傳送到另一個位址的流量。

    如果大部分的流量都是 ARP 訊息,表示流量鏡像設定不正確。

  3. 確認您的 OT 通訊協定存在於分析的流量中。

    例如:

    Screenshot of Wireshark validation.

使用單向閘道/資料二極體進行部署

您可以使用單向閘道 (也稱為資料二極體) 部署適用於 IoT 的 Defender。 資料二極體提供安全的方式來監視網路,因為其只允許資料以一個方向流動。 這表示資料可以受到監視,而不危害網路的安全性,因為資料無法以相反的方向送回。 資料二極體解決方案的範例包括 WaterfallOwl Cyber DefenseHirschmann

如果需要單向閘道,建議您在流向感應器監視埠的 SPAN 流量上部署您的資料二極體。 例如,使用資料二極體來監視來自敏感性系統的流量,例如工業控制系統,同時讓系統與監視系統完全隔離。

將 OT 感應器放在電子周邊外,並讓它們接收來自二極體的流量。 在此案例中,您將能夠從雲端管理適用於 IoT 的 Defender 感應器,讓它們使用最新的威脅情報套件自動進行更新。

下一步

« 將 OT 感應器上線至適用於 IoT 的 Defender

針對雲端管理佈建 OT 感應器 »