通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用远程 SPAN (RSPAN) 端口配置流量镜像

  • 项目

本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。

Diagram of a progress bar with Network level deployment highlighted.

本文介绍在 Cisco 2960 交换机(其中包含 24 个运行 IOS 的端口)上配置 RSPAN 的示例过程。

重要

本文仅作为指导而不是说明。 其他 Cisco 操作系统和其他交换机品牌上的镜像端口配置方式不同。 有关详细信息,请参阅交换机文档。

先决条件

  • 在开始之前,请确保了解使用 Defender for IoT 进行网络监视的计划,以及要配置的 SPAN 端口。

    有关详细信息,请参阅用于 OT 监视的流量镜像方法

  • RSPAN 需要特定的 VLAN 在交换机之间传输受监视的 SPAN 流量。 在开始之前,请确保交换机支持 RSPAN。

  • 请确保交换机上的镜像选项已关闭。

  • 请确保源交换机与目标交换机之间的汇聚端口上允许远程 VLAN。

  • 请确保连接到同一 RSPAN 会话的所有交换机都来自同一供应商。

  • 请确保在交换机之间共享同一远程 VLAN 的汇聚端口尚未定义为镜像会话源端口。

  • 远程 VLAN 通过从源会话镜像的流量增加汇聚端口的带宽。 确保交换机的汇聚端口可以支持增加的带宽。

注意

带宽增加(无论是由于吞吐量大还是交换机数量多)可能会导致交换机发生故障,从而使整个网络关闭。 使用 RSPAN 配置流量镜像时,请务必考虑以下事项:

  • 使用 RSPAN 配置的访问/分发交换机数量。
  • 每个交换机上远程 VLAN 的关联吞吐量。

配置源交换机

在源交换机上:

  1. 进入 global configuration 模式并创建新的专用 VLAN。

  2. 将新 VLAN 标识为 RSPAN VLAN,然后返回到 configure terminal 模式。

  3. 将所有 24 个端口配置为会话源。

  4. 将 RSPAN VLAN 配置为会话目标。

  5. 返回到特权 EXEC 模式并验证端口镜像配置。

配置目标交换机

在目标交换机上:

  1. 进入 global configuration 模式并将 RSPAN VLAN 配置为会话源。

  2. 将物理端口 24 配置为会话目标。

  3. 返回到特权 EXEC 模式并验证端口镜像配置。

  4. 保存配置。

验证流量镜像

配置流量镜像后,可尝试从交换机 SPAN 或镜像端口接收记录的流量示例(PCAP 文件)。

示例 PCAP 文件将有助于:

  • 验证交换机配置
  • 确认通过交换机的流量与监视相关
  • 标识交换机检测到的带宽和预估设备数

  1. 使用网络协议分析器应用程序(如 Wireshark)记录 PCAP 样本文件几分钟时间。 例如,将笔记本电脑连接到配置了流量监视的端口。

  2. 检查记录流量中是否存在单播数据包。 单播流量是从地址发送到另一个地址的流量。

    如果大多数流量是 ARP 消息,则流量镜像配置不正确。

  3. 验证已分析的流量中是否存在 OT 协议。

    例如:

    Screenshot of Wireshark validation.

后续步骤

« 将 OT 传感器加入到 Defender for IoT

预配 OT 传感器以进行云管理 »