A Windows Server 2012 Hyper-V új funkciót vezet be - port tükrözés, amely lehetővé teszi a virtuális gépek forgalmának megfigyelését anélkül, hogy közvetlenül a vendég operációs rendszeren belül kellene rögzíteni a forgalmat. Valójában ez a funkció megegyezik a hardverport tükrözésével, de a Hyper-V virtuális kapcsoló szintjén. A port tükrözése Hyper-V alapú rendszerekben használható hálózati problémák elhárításához, teszteléséhez, megfigyeléséhez, a hálózati forgalom elemzéséhez és a forgalom átirányításához az IDS rendszerekbe (behatolás-érzékelő rendszerek) az elemzéshez. Próbáljuk meg konfigurálni a forgalmi tükrözést a Hyper-V 2012-ben egy adott példa segítségével.
Rendszerkövetelmények a port tükrözéshez a Hyper-V 2012-ben:
- Rendszer Windows Server 2012 Hyper-V rendszerrel és adminisztratív hozzáférés ehhez
- Legalább egy virtuális kapcsoló (vSwitch)
- Legalább két virtuális gép: az első és a második forgalmat lemásoljuk
A port tükrözésének konfigurálása a felhasználói felület használatával
- Nyissa meg a Hyper-V Manager felügyeleti konzolt
- Lépjen a virtuális gép beállításaira, amelyek forgalmát tükrözni fogjuk (Beállítások)
- A virtuális gép beállításainak ablakában keresse meg azt a hálózati adaptert, amelyen engedélyezni kívánja a forgalom rögzítését, és lépjen a speciális beállítások szakaszba (Speciális szolgáltatások)
- A szakaszban Port tükrözése keresési paraméter Tükrözési mód és változtassa meg értékét forrás (ezáltal lehetővé válik ennek a portnak a tükrözése a Hyper-V virtuális kapcsoló szintjén)
- Ha a Hyper-V konfigurációja egynél több virtuális kapcsolót használ, akkor emlékszik a névre (a példánkban Hyper-V-vendégek).
A következő lépés a virtuális gép konfigurálása, amelynek forgalma duplikált lesz az elsőtől kezdve. A hálózati forgalom elemzésének kényelme érdekében javasoljuk, hogy adjon hozzá egy külön virtuális hálózati kártyát (vNIC), amely ugyanahhoz a virtuális kapcsolóhoz van csatlakoztatva, a géphez. A dedikált kártya lehetővé teszi a hálózati forgalom legteljesebb levonását azáltal, hogy letiltja a szükségtelen szolgáltatásokat és protokollokat a vendég operációs rendszerben (erről bővebben az alábbiakban). Ehhez:
- Ossza ki azt a virtuális gépet, amely a "rögzített" forgalom fogadójaként fog működni
- Lépjen a beállításaira (Beállítások) és új felszerelést (Hardver hozzáadása) típus Hálózati adapter
- Több kapcsoló használata esetén csatlakoztassa pontosan azt az új hálózati kártyát, amelyben az első virtuális gép található (Hyper-V-Vendég kapcsoló). Az új hálózati kártya speciális tulajdonságai között a Port tükrözés szakaszban adja meg, hogy a hálózati kártya a hálózati forgalom vevőjeként működjön-e. Tükrözési mód - cél.
- Kapcsolja be a virtuális gépet
Ezután folytassuk a tükrözés beállításával a vendég Windowsban, amely forgalomvevő..
- Jelentkezzen be a gépébe a Hyper-V konzolon vagy az RPD-n keresztül.
- A további azonosítás egyszerűsítéséhez keresse meg a hálózati kapcsolat vezérlőpultján a korábban hozzáadott hálózati kártyát, és nevezze át (például a Hyper-V-Vendég-Tükör-Portban)..
- Nyissa meg a hálózati kapcsolat tulajdonságait, és tiltsa le az összes protokollt és szolgáltatást. Így elérjük a rögzített forgalom "tisztaságát", amelyet semmi nem szűrt vagy korlátozott, pontosan ugyanolyan formában érkezik, mint a tükör portjára..
Ezután közvetlenül folytathatja az átirányított forgalom kezelését: lehet egy bizonyos IDS rendszer vagy egy hálózati forgalom rögzítő és elemző rendszer (Packet Capture), például a Microsoft Network Monitor, az Message Analyzer, a Wireshark stb..
Port tükör a Powershell-rel
A Windows Server 2012 Hyper-V rendszerben a forgalmi tükrözés beállításait a Powershell segítségével is kezelheti.
A következő példában a Powershell használatával engedélyezzük a port tükrözését a VMWin2008Source nevű virtuális gépen, és irányítsuk a forgalmat a VMWin2008Monitor nevű virtuális gépre:
Set-VMNetworkAdapter -VMName VMWin2008Source -PortMirroring Source
Set-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring Destination
információ: Ezen felül a következő parancsok is hasznosak lehetnek:
- Add-VMNetworkAdapter - adjon hozzá egy új hálózati adaptert a virtuális géphez
- Get-NetAdapter - kap egy listát a hálózati kártyákról (NIC)
- Nemeszepter átnevezése - nevezze át a hálózati kártyát
De van egy kis légy a kenőcsben is - a Tükör port csak egy Hyper-V szerveren működik (amely egyébként közvetlenül működik egy USB flash meghajtón). Ez azt jelenti, hogy ha a virtuális gép, amelynek forgalma tükröződik, egy másik szerverre költözött a Hyper-V klaszterben, akkor a forgalom tükrözése nem működik (a második gazdagépen külön konfigurálnia kell a forgalom rögzítésére is)..
