Windows Server 2012 Hyper-V wprowadza nową funkcję - dublowanie portów, co pozwala monitorować ruch maszyn wirtualnych bez potrzeby przechwytywania ruchu bezpośrednio w samym systemie-gościu. W rzeczywistości ta funkcja jest taka sama jak sprzętowe dublowanie portów, ale na poziomie wirtualnego przełącznika Hyper-V. Dublowanie portów można stosować w systemach opartych na technologii Hyper-V do rozwiązywania problemów z siecią, testowania, monitorowania, analizy ruchu sieciowego i przekierowywania ruchu do analizy w systemach IDS (systemy wykrywania włamań). Spróbujmy skonfigurować dublowanie ruchu w Hyper-V 2012 na konkretnym przykładzie.
Wymagania systemowe dotyczące dublowania portów w Hyper-V 2012:
- System z Windows Server 2012 Hyper-V i dostęp administracyjny do niego
- Co najmniej jeden przełącznik wirtualny (vSwitch)
- Co najmniej dwie maszyny wirtualne: skopiujemy ruch z pierwszej do drugiej
Konfigurowanie dublowania portów za pomocą GUI
- Otwórz konsolę zarządzania Menedżera funkcji Hyper-V
- Przejdź do ustawień maszyny wirtualnej, której ruch będziemy kopiować (Ustawienia)
- W oknie ustawień maszyny wirtualnej znajdź kartę sieciową, na której chcesz włączyć przechwytywanie ruchu, i przejdź do sekcji ustawień zaawansowanych (Zaawansowane funkcje)
- W dziale Dublowanie portów znajdź parametr Tryb dublowania i zmień jego wartość na Źródło (w ten sposób umożliwimy dublowanie tego portu na poziomie wirtualnego przełącznika Hyper-V)
- Jeśli Twoja konfiguracja Hyper-V używa więcej niż jednego przełącznika wirtualnego, musisz zapamiętać jego nazwę (w naszym przykładzie Goście Hyper-V).
Następnym krokiem jest skonfigurowanie maszyny wirtualnej, która będzie duplikowana ruchem od pierwszego. Dla wygody analizy ruchu sieciowego zaleca się dodanie do tego komputera osobnej wirtualnej karty sieciowej (vNIC) podłączonej do tego samego przełącznika wirtualnego. Dedykowana karta pozwala uzyskać najbardziej kompletny zrzut ruchu sieciowego poprzez wyłączenie niepotrzebnych usług i protokołów w systemie operacyjnym gościa (więcej na ten temat poniżej). Aby to zrobić:
- Zgasić maszynę wirtualną, która będzie działać jako odbiorca „przechwyconego” ruchu
- Przejdź do jego ustawień (Ustawienia) i dodaj nowy sprzęt (Dodaj sprzęt) typ Karta sieciowa
- Jeśli używasz wielu przełączników, podłącz nową kartę sieciową dokładnie do tej, w której zlokalizowana była pierwsza maszyna wirtualna (przełącznik Hyper-V-Goście). W zaawansowanych właściwościach nowej karty sieciowej w sekcji Dublowanie portów określ, że karta sieciowa będzie działać jako odbiornik ruchu sieciowego Tryb dublowania - Miejsce docelowe.
- Włącz maszynę wirtualną
Następnie przejdźmy do konfigurowania kopii lustrzanej w systemie-gościu, który jest odbiorcą ruchu..
- Zaloguj się do komputera za pomocą konsoli Hyper-V lub rdp.
- W panelu sterowania połączeniami sieciowymi znajdź poprzednio dodaną kartę sieciową i zmień jej nazwę (na przykład w Hyper-V-Goście-Mirror-Port), aby uprościć dalszą identyfikację.
- Otwórz właściwości tego połączenia sieciowego i wyłącz wszystkie protokoły i usługi. W ten sposób osiągniemy „czystość” przechwyconego ruchu, który nie jest filtrowany ani niczym ograniczony, przybywając dokładnie w takiej samej formie, w jakiej dostaje się do portu lustrzanego.
Następnie możesz przejść bezpośrednio do pracy z przekierowanym ruchem: może to być jakiś system IDS lub system do przechwytywania i analizy ruchu sieciowego (przechwytywanie pakietów), na przykład Microsoft Network Monitor, Message Analyzer, Wireshark itp..
Port Mirroring z Powershell
W systemie Windows Server 2012 Hyper-V można także zarządzać ustawieniami kopii lustrzanych ruchu za pomocą programu Powershell.
W poniższym przykładzie użyjemy programu Powershell, aby włączyć dublowanie portów na maszynie wirtualnej o nazwie VMWin2008Source i skierować ruch na maszynę wirtualną o nazwie VMWin2008Monitor:
Ustaw-VMNetworkAdapter -VMName VMWin2008Source -PortMirroring Źródło
Set-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring Miejsce docelowe
Informacja: Ponadto przydatne mogą być następujące polecenia:
- Dodaj VMNetworkAdapter - dodaj nową kartę sieciową do maszyny wirtualnej
- Get-netadapter - uzyskać listę kart sieciowych (NIC)
- Zmień nazwę netadaptera - zmień nazwę karty sieciowej
Ale w maści jest również mała mucha - port Mirroring działa tylko na jednym serwerze Hyper-V (który, nawiasem mówiąc, może działać bezpośrednio z dysku flash USB). Oznacza to, że jeśli maszyna wirtualna, której ruch lustrzany jest migrowany, migruje na inny serwer w klastrze Hyper-V, wówczas kopia lustrzana ruchu przestanie działać (na drugim hoście konieczne będzie również skonfigurowanie osobnej maszyny do przechwytywania ruchu).
