Windows Server 2012 Hyper-V uvodi novu značajku - zrcaljenje luka, koji omogućava praćenje prometa virtualnih strojeva bez potrebe za hvatanje prometa izravno unutar samog gostujućeg OS-a. Zapravo je ova funkcija ista kao i zrcaljenje hardverskih priključaka, ali na razini virtualnog prekidača Hyper-V. Zrcaljenje porta može se koristiti u sustavima temeljenim na Hyper-V za rješavanje problema s mrežom, testiranje, nadzor, analiza mrežnog prometa i preusmjeravanje prometa na analizu u IDS sustavima (sustavi za otkrivanje provale). Pokušajmo konfigurirati zrcaljenje prometa u Hyper-V 2012 koristeći specifičan primjer.
Zahtjevi sustava za zrcaljenje priključaka u Hyper-V 2012:
- Sustav s Windows Server 2012 Hyper-V i administrativni pristup njemu
- Barem jedan virtualni prekidač (vSwitch)
- Barem dva virtualna stroja: umnožit ćemo promet od prvog do drugog
Konfiguriranje zrcaljenja luka pomoću GUI-ja
- Otvorite konzolu za upravljanje Hyper-V Manager
- Idite na postavke virtualnog stroja, čiji ćemo se promet ogledati (postavke)
- U prozoru postavki virtualnog računala pronađite mrežni adapter na kojem želite omogućiti snimanje prometa i idite na odjeljak naprednih postavki (Napredne značajke)
- U odjeljku Port zrcaljenje pronađi parametar Način zrcaljenja i promijeni svoju vrijednost u izvor (na taj način omogućit ćemo zrcaljenje ovog priključka na razini virtualne sklopke Hyper-V)
- Ako vaša Hyper-V konfiguracija koristi više virtualnih sklopki, morate zapamtiti njegovo ime (u našem primjeru, Hiper-V-gostiju).
Sljedeći je korak konfiguriranje virtualnog stroja koji će duplicirati promet s prvog. Radi praktičnosti analize mrežnog prometa, na ovaj se uređaj preporučuje dodavanje zasebne virtualne mrežne kartice (vNIC) spojene na isti virtualni prekidač. Namjenska kartica omogućuje vam da dobijete najpotpuniji ispis mrežnog prometa onemogućavanjem nepotrebnih usluga i protokola u gostujućem OS-u (više o tome u nastavku). Da biste to učinili:
- Ugasite virtualni stroj koji će djelovati kao primatelj "zarobljenog" prometa
- Idite na njegove postavke (postavke) i dodajte novu opremu (Dodajte hardver) tip Mrežni adapter
- Ako koristite više sklopki, novu mrežnu karticu priključite točno na onu u kojoj se nalazio prvi virtualni stroj (sklopka Hyper-V-gostiju). U naprednim svojstvima nove mrežne kartice u odjeljku zrcaljenja porta odredite da će mrežna kartica djelovati kao primatelj mrežnog prometa Način zrcaljenja - odredište.
- Uključite virtualni stroj
Zatim prelazimo na postavljanje zrcaljenja u gostujućem Windows-u, koji je primatelj prometa..
- Prijavite se na svoj uređaj putem Hyper-V konzole ili rdp.
- Na upravljačkoj ploči mrežne veze pronađite prethodno dodanu mrežnu karticu i preimenujte je (na primjer, u Hyper-V-gostiju-Mirror-Port) kako biste pojednostavili daljnju identifikaciju.
- Otvorite svojstva ove mrežne veze i onemogućite sve protokole i usluge. Tako ćemo postići „čistoću“ zarobljenog prometa, koji nije filtriran ili ograničen ničim, stižući u potpuno istom obliku u kojem se stiže do zrcalnog ulaza.
Zatim možete izravno pristupiti radu s preusmjerenim prometom: to može biti određeni IDS sustav ili sustav za bilježenje i analizu mrežnog prometa (Packet Capture), na primjer Microsoft Network Monitor, Analyzer poruka, Wireshark itd..
Port Mirroring s Powershellom
U sustavu Windows Server 2012 Hyper-V također možete upravljati postavkama zrcaljenja prometa pomoću Powershell-a.
U sljedećem primjeru koristit ćemo Powershell za omogućavanje zrcaljenja priključaka u virtualnom stroju zvanom VMWin2008Source i usmjeravanje prometa na virtualni stroj zvan VMWin2008Monitor:
Set-VMNetworkAdapter -VMName VMWin2008Source -PortMirroring Source
Postavi-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring odredište
informacije: Uz to, mogu biti korisne sljedeće naredbe:
- Add-VMNetworkAdapter - dodajte novi mrežni adapter u virtualni stroj
- Get-NetAdapter - dobiti popis mrežnih kartica (NIC)
- Preimenujte netadapter - preimenovati mrežnu karticu
Ali u masti postoji mala muha - Mirroring port radi unutar samo jednog Hyper-V poslužitelja (koji, usput, može raditi izravno s USB flash pogona). To znači da ako je virtualni stroj čiji se zrcalni promet preselio na drugi poslužitelj u klasteru Hyper-V, tada će zrcaljenje prometa prestati raditi (na drugom hostu, morat ćete konfigurirati i zasebni stroj za hvatanje prometa).