Огледално пристанище в Hyper-V 2012

Windows Server 2012 Hyper-V представя нова функция - огледално пристанище, което позволява да се следи трафика на виртуални машини, без да е необходимо да се улавя трафик директно вътре в самата гост операционна система. Всъщност тази функция е същата като хардуерното огледално пристанище, но на нивото на виртуалния превключвател Hyper-V. Порт огледалното огледало може да се използва в базирани на Hyper-V системи за отстраняване на проблеми в мрежата, тестване, наблюдение, анализ на мрежовия трафик и пренасочване на трафика към анализ в IDS системи (системи за откриване на проникване). Нека се опитаме да конфигурираме огледалното движение на трафика в Hyper-V 2012, използвайки конкретен пример.

Системни изисквания за огледално пристанище в Hyper-V 2012:

• Система с Windows Server 2012 Hyper-V и административен достъп до нея
• Поне един виртуален превключвател (vSwitch)
• Поне две виртуални машини: ще дублираме трафика на първата към втората

Конфигуриране на огледалното пристанище чрез GUI

1. Отворете конзолата за управление на Hyper-V Manager
2. Отидете в настройките на виртуалната машина, трафикът на която ще огледаме (Настройки)
3. В прозореца за настройки на виртуалната машина намерете мрежовия адаптер, на който искате да активирате улавяне на трафика, и отидете на раздела за разширени настройки (Разширени функции)
4. В раздела Огледално пристанище намери параметър Режим огледално и променете стойността си на източник (по този начин ще дадем възможност за огледално отваряне на този порт на нивото на виртуалния превключвател Hyper-V)
5. Ако конфигурацията ви Hyper-V използва повече от един виртуален превключвател, трябва да запомните името му (в нашия пример, Hyper-V-Гости).

Следващата стъпка е да конфигурирате виртуалната машина, която ще бъде дублиран трафик от първата. За удобство на анализа на мрежовия трафик се препоръчва да добавите към тази машина отделна виртуална мрежова карта (vNIC), свързана със същия виртуален превключвател. Специална карта ви позволява да получите най-пълното зареждане на мрежовия трафик, като деактивирате ненужни услуги и протоколи в гост операционната система (повече за това по-долу). За да направите това:

1. Изгасете виртуалната машина, която ще действа като приемник на „заловения“ трафик
2. Отидете на неговите настройки (Настройки) и добавете ново оборудване (Добавете хардуер) тип  Мрежов адаптер
3. Ако използвате няколко превключвателя, включете новата мрежова карта точно към тази, в която се намира първата виртуална машина (превключвател Hyper-V-gostiju). В разширените свойства на новата мрежова карта в секцията Огледално пристанище посочете, че мрежовата карта ще действа като приемник на мрежов трафик Режим огледално - дестинация.
4. Включете виртуалната машина

На следващо място, да преминем към настройка на огледално огледало в гост Windows, който е приемник на трафик..

1. Влезте в устройството си чрез конзолата Hyper-V или rdp.
2. В контролния панел за мрежова връзка намерете предварително добавената мрежова карта и я преименувайте (например в Hyper-V-Guest-Mirror-Port), за да опростите по-нататъшната идентификация.
3. Отворете свойствата на тази мрежова връзка и деактивирайте всички протоколи и услуги. По този начин ще постигнем "чистотата" на заснетия трафик, който не е филтриран или ограничен от нищо, пристигайки в абсолютно същата форма, каквато се получава на огледалния порт.

След това можете да продължите директно към работата с пренасочен трафик: може да бъде определена система IDS или система за улавяне и анализ на мрежовия трафик (Packet Capture), например Microsoft Network Monitor, анализатор на съобщения, Wireshark и т.н..

Огледално пристанище с Powershell

В Windows Server 2012 Hyper-V можете също да управлявате настройките за огледално движение на трафика, като използвате Powershell.

В следващия пример ще използваме Powershell, за да активираме огледалното пристанище във виртуална машина с име VMWin2008Source и да насочим трафика към виртуална машина с име VMWin2008Monitor:

Set-VMNetworkAdapter -VMName VMWin2008Source -PortMirroring Source

Set-VMNetworkAdapter -VMName VMWin2008Monitor -PortMirroring Дестинация

информация: В допълнение, следните команди могат да бъдат полезни:

• Add-VMNetworkAdapter -  добавете нов мрежов адаптер към виртуалната машина
• Get-NetAdapter -  вземете списък с мрежови карти (NIC)
• Преименуване на netadapter - преименувайте мрежова карта

Но в мехлема има и малка муха - портът Mirroring работи в рамките само на един сървър Hyper-V (който, между другото, може да работи директно от USB флаш устройство). Това означава, че ако виртуалната машина, чийто трафик е огледален, е мигрирала към друг сървър в Hyper-V клъстера, тогава огледалното движение на трафика ще спре да работи (на втория хост ще трябва също да конфигурирате отделна машина, която да улавя трафика).