Port Mirroring di Hyper-V 2012

Windows Server 2012 Hyper-V memperkenalkan fitur baru - mirroring port, yang memungkinkan pemantauan lalu lintas mesin virtual tanpa perlu menangkap lalu lintas langsung di dalam OS tamu itu sendiri. Bahkan, fungsi ini sama dengan mirroring port perangkat keras, tetapi pada tingkat switch virtual Hyper-V. Port mirroring dapat digunakan dalam sistem berbasis Hyper-V untuk pemecahan masalah jaringan, pengujian, pemantauan, analisis lalu lintas jaringan dan mengarahkan lalu lintas ke analisis dalam sistem IDS (sistem deteksi intrusi). Mari kita coba mengkonfigurasi mirroring lalu lintas di Hyper-V 2012 menggunakan contoh spesifik.

Persyaratan Sistem untuk Port Mirroring di Hyper-V 2012:

  • Sistem dengan Windows Server 2012 Hyper-V dan akses administratif untuk itu
  • Setidaknya satu saklar virtual (vSwitch)
  • Setidaknya dua mesin virtual: kami akan menduplikasi lalu lintas dari yang pertama ke yang kedua

Mengkonfigurasi mirroring port menggunakan GUI

  1. Buka Konsol Manajemen Manajer Hyper-V
  2. Pergi ke pengaturan mesin virtual, lalu lintas yang akan kita mirror (Pengaturan)
  3. Di jendela pengaturan mesin virtual, temukan adaptor jaringan tempat Anda ingin mengaktifkan lalu lintas dan pergi ke bagian pengaturan lanjutan (Fitur Lanjutan)
  4. Di bagian ini Mirroring port cari parameter Mode pencerminan dan ubah nilainya menjadi Sumber (dengan demikian, kami akan mengaktifkan mirroring port ini di level switch virtual Hyper-V)
  5. Jika konfigurasi Hyper-V Anda menggunakan lebih dari satu saklar virtual, Anda harus mengingat namanya (dalam contoh kami, Hyper-V-Tamu).

Langkah selanjutnya adalah mengkonfigurasi mesin virtual, yang akan digandakan lalu lintas dari yang pertama. Untuk kenyamanan menganalisis lalu lintas jaringan, disarankan untuk menambahkan kartu jaringan virtual terpisah (vNIC) yang terhubung ke sakelar virtual yang sama ke mesin ini. Kartu khusus memungkinkan Anda untuk mendapatkan lalu lintas jaringan yang paling lengkap dengan menonaktifkan layanan dan protokol yang tidak perlu di OS tamu (lebih lanjut tentang ini di bawah). Untuk melakukan ini:

  1. Memadamkan mesin virtual yang akan bertindak sebagai penerima lalu lintas "ditangkap"
  2. Buka pengaturannya (Pengaturan) dan tambahkan peralatan baru (Tambahkan perangkat keras) tipe  Adaptor jaringan
  3. Jika Anda menggunakan beberapa sakelar, masukkan kartu jaringan yang baru persis ke sakelar di mana mesin virtual pertama berada (sakelar Hyper-V-Guests). Di properti lanjutan kartu jaringan baru di bagian Port mirroring, tentukan bahwa kartu jaringan akan bertindak sebagai penerima lalu lintas jaringan Mode pencerminan - Tujuan.
  4. Nyalakan mesin virtual

Selanjutnya, mari kita lanjutkan ke pengaturan mirroring di Windows tamu, yang merupakan penerima lalu lintas..

  1. Masuk ke mesin Anda melalui konsol Hyper-V atau rdp.
  2. Di panel kontrol koneksi jaringan, temukan kartu jaringan yang ditambahkan sebelumnya dan ganti namanya (misalnya, di Hyper-V-Guests-Mirror-Port) untuk menyederhanakan identifikasi lebih lanjut.
  3. Buka properti koneksi jaringan ini dan nonaktifkan semua protokol dan layanan. Dengan demikian, kita akan mencapai "kemurnian" dari lalu lintas yang ditangkap, yang tidak disaring atau dibatasi oleh apa pun, tiba dalam bentuk yang persis sama di mana ia sampai ke port mirror.

Selanjutnya, Anda dapat melanjutkan secara langsung untuk bekerja dengan lalu lintas yang dialihkan: dapat berupa sistem IDS tertentu atau sistem penangkapan dan analisis lalu lintas jaringan (Pengambilan Paket), misalnya Monitor Jaringan Microsoft, Penganalisis Pesan, Wireshark, dll..

Port Mirroring dengan Powershell

Di Windows Server 2012 Hyper-V, Anda juga dapat mengelola pengaturan pemantulan lalu lintas menggunakan Powershell.

Dalam contoh berikut, kami akan menggunakan Powershell untuk mengaktifkan mirroring port di mesin virtual bernama VMWin2008Source dan mengarahkan lalu lintas ke mesin virtual bernama VMWin2008Monitor:

Set-VMNetworkAdapter -VMName VMWin2008Sumber -PortMirroring Source
Set-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring Destination

Informasi: Selain itu, perintah berikut mungkin berguna:

  • Add-VMNetworkAdapter -  tambahkan adapter jaringan baru ke mesin virtual
  • Dapatkan-netadapter -  dapatkan daftar kartu jaringan (NIC)
  • Ganti nama netadapter - ganti nama kartu jaringan

Tapi ada lalat kecil di salep - port Mirroring bekerja hanya dalam satu server Hyper-V (yang, omong-omong, dapat bekerja langsung dari USB flash drive). Ini berarti bahwa jika mesin virtual yang lalu lintasnya dicerminkan telah bermigrasi ke server lain di gugus Hyper-V, maka pencerminan lalu lintas akan berhenti berfungsi (pada host kedua, Anda juga perlu mengonfigurasi mesin terpisah untuk menangkap lalu lintas).