Windows Server 2012 Hyper-V představuje novou funkci - zrcadlení portů, což umožňuje sledovat provoz virtuálních strojů bez nutnosti zachycovat provoz přímo uvnitř hostujícího OS. Ve skutečnosti je tato funkce stejná jako zrcadlení hardwarového portu, ale na úrovni virtuálního přepínače Hyper-V. Zrcadlení portů lze použít v systémech založených na Hyper-V pro řešení problémů se sítí, testování, monitorování, analýzu síťového provozu a přesměrování provozu na analýzu v systémech IDS (systémy detekce narušení). Zkusme nakonfigurovat zrcadlení provozu v Hyper-V 2012 pomocí konkrétního příkladu.
Systémové požadavky pro zrcadlení portů v Hyper-V 2012:
- Systém s Windows Server 2012 Hyper-V a administrativní přístup k němu
- Alespoň jeden virtuální přepínač (vSwitch)
- Alespoň dva virtuální stroje: duplikujeme přenos z prvního na druhý
Konfigurace zrcadlení portů pomocí GUI
- Spusťte konzolu pro správu Hyper-V Manager
- Přejděte na nastavení virtuálního počítače, jehož provoz budeme zrcadlit (Nastavení)
- V okně nastavení virtuálního počítače vyhledejte síťový adaptér, na kterém chcete povolit zachycení provozu, a přejděte do sekce pokročilých nastavení (Pokročilé funkce)
- V sekci Zrcadlení portů najít parametr Zrcadlový režim a změňte jeho hodnotu na Zdroj (tím povolíme zrcadlení tohoto portu na úrovni virtuálního přepínače Hyper-V)
- Pokud vaše konfigurace Hyper-V používá více než jeden virtuální přepínač, musíte si pamatovat jeho název (v našem příkladu, Hyper-V-Hosté).
Dalším krokem je konfigurace virtuálního počítače, který bude duplikovaný provoz od prvního. Pro usnadnění analýzy síťového provozu se do tohoto počítače doporučuje přidat samostatnou virtuální síťovou kartu (vNIC) připojenou ke stejnému virtuálnímu přepínači. Speciální karta vám umožňuje získat nejúplnější výpis síťového provozu deaktivací zbytečných služeb a protokolů v hostujícím OS (více o tomto níže). Postupujte takto:
- Vypněte virtuální počítač, který bude fungovat jako příjemce „zachyceného“ provozu
- Přejít na jeho nastavení (Nastavení) a přidejte nové vybavení (Přidat hardware) typ Síťový adaptér
- Pokud používáte více přepínačů, připojte novou síťovou kartu přesně k té, ve které byl umístěn první virtuální počítač (přepínač Hyper-V-Guests). V pokročilých vlastnostech nové síťové karty v části Zrcadlení portů určete, že síťová karta bude fungovat jako příjemce síťového provozu. Zrcadlový režim - Cíl.
- Zapněte virtuální počítač
Dále přejdeme k nastavení zrcadlení v hostujícím systému Windows, který je dopravním přijímačem..
- Přihlaste se k počítači pomocí konzoly Hyper-V nebo rdp.
- Na ovládacím panelu síťového připojení najděte dříve přidanou síťovou kartu a přejmenujte ji (například v Hyper-V-Guests-Mirror-Port), abyste zjednodušili další identifikaci.
- Otevřete vlastnosti tohoto síťového připojení a vypněte všechny protokoly a služby. Dosáhneme tak „čistoty“ zachyceného provozu, který není filtrován ani omezen ničím, a dorazí přesně ve stejné podobě, v jaké se dostane do zrcadlového portu..
Dále můžete přistoupit přímo k práci s přesměrovaným provozem: může to být nějaký systém IDS nebo systém pro zachycení a analýzu síťového provozu (Packet Capture), například Microsoft Network Monitor, Message Analyzer, Wireshark atd..
Zrcadlení portů pomocí Powershell
V systému Windows Server 2012 Hyper-V můžete také spravovat nastavení zrcadlení provozu pomocí Powershell.
V následujícím příkladu použijeme Powershell k povolení zrcadlení portů ve virtuálním počítači s názvem VMWin2008Source a k přímému přenosu do virtuálního počítače s názvem VMWin2008Monitor:
Set-VMNetworkAdapter -VMName VMWin2008Source -PortMirroring Source
Set-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring Destination
Informace: Kromě toho mohou být užitečné následující příkazy:
- Add-VMNetworkAdapter - přidat nový síťový adaptér do virtuálního počítače
- Get-netadapter - získat seznam síťových karet (NIC)
- Přejmenovat síťový adaptér - přejmenovat síťovou kartu
V masti je ale malá moucha - port Mirroring funguje pouze na jednom serveru Hyper-V (který mimochodem může pracovat přímo z USB flash disku). To znamená, že pokud virtuální počítač, jehož provoz je zrcadlený, migroval na jiný server v klastru Hyper-V, přestane fungovat zrcadlení provozu (na druhém hostiteli budete také muset nakonfigurovat samostatný počítač pro zachycení provozu).