Hyper-V – Port Mirroring - beitadmin.pl

Mirroring portów często bywa mylony z przekierowaniem portów, jednak różnią się one fundamentalnie. Przekierowanie portów zmienia miejsce docelowe pakietów, kierując je do innej maszyny lub usługi, natomiast mirroring jedynie duplikuje ruch sieciowy w celu jego monitorowania. Można to porównać do tworzenia lustrzanej kopii transmisji danych – analizujemy ruch, ale nie ingerujemy w jego naturalny przebieg.

Jak działa mirroring portów w Hyper-V?

Aby wdrożyć mirroring portów w środowisku Hyper-V, konieczne jest skonfigurowanie dwóch maszyn wirtualnych:

Maszyna źródłowa – generuje i przesyła pakiety sieciowe.
Maszyna docelowa – wyposażona w narzędzie do analizy ruchu, np. Wireshark, pasywnie odbiera zdublowane pakiety i umożliwia ich monitorowanie.

Konfigurację można przeprowadzić na dwa sposoby:

Hyper-V Manager – intuicyjny interfejs graficzny pozwala łatwo przypisać odpowiednie role maszyn wirtualnych.
PowerShell – zapewnia większą elastyczność i precyzyjną kontrolę nad konfiguracją, co jest szczególnie przydatne dla zaawansowanych użytkowników.

Ograniczenia mirroringu portów

Mimo swojej przydatności mirroring portów w Hyper-V ma jedno istotne ograniczenie – działa jedynie w obrębie jednego hosta. Oznacza to, że w środowiskach klastrowych, gdzie maszyny wirtualne są rozmieszczone na różnych fizycznych serwerach, konieczne jest uruchomienie dedykowanej maszyny docelowej na każdym hoście, by skutecznie monitorować ruch lokalny.

Rozwiązywanie problemów sieciowych z wykorzystaniem Port Mirroring w Hyper-V

Administratorzy sieci muszą być przygotowani do diagnozowania i rozwiązywania szerokiego zakresu problemów w infrastrukturze IT. Często wymaga to przeanalizowania wielu aspektów, takich jak:

Połączenia fizyczne
Adresy IP
Tabela tras
Dostawca usług internetowych
QoS (Quality of Service)

Dlatego narzędzia do rozwiązywania problemów sieciowych są niezbędne dla każdego administratora sieci i wirtualizacji. W takich przypadkach pomocne może okazać się Port Mirroring.

Jak działa Port Mirroring?

Port Mirroring duplikuje pakiety przechodzące przez dany port i wysyła ich kopie do portu lub maszyny docelowej. Jest to niezwykle przydatne narzędzie do przesyłania ruchu do aplikacji analizujących sieć, takich jak:

Monitorowanie zgodności
Egzekwowanie zasad bezpieczeństwa
Wykrywanie włamań
Monitorowanie ruchu sieciowego

Port Mirroring jest także znany jako Switched Port Analyzer (SPAN) i może być używany w środowiskach wirtualnych, w tym z Hyper-V. Windows Server 2012 wprowadził tę funkcję, umożliwiając administratorom konfigurację monitorowania ruchu sieciowego dla wirtualnych kart sieciowych (vNIC) poprzez zaawansowane ustawienia karty sieciowej.

Konfiguracja Port Mirroring w Hyper-V (Source)

W tym przewodniku pokażę, jak skonfigurować środowisko Hyper-V do przechwytywania ruchu sieciowego z maszyny wirtualnej źródłowej „Source” do maszyny wirtualnej docelowej „Destination”. Obie maszyny działają na fizycznym hoście Hyper-V o nazwie „DESKTOP-8SAVEQU”. Zarówno maszyna źródłowa, jak i docelowa to systemy Windows 10, a do analizy ruchu na maszynie „Destination” użyjemy Wireshark.

W kolejnych krokach opiszę szczegółowy proces konfiguracji, który pozwoli skutecznie monitorować ruch sieciowy w środowisku wirtualnym.

Po zakończeniu podstawowej konfiguracji kliknij OK, aby zatwierdzić zmiany.

Konfiguracja Port Mirroring w Hyper-V (Destination)

Jedną z największych zalet tej funkcji jest możliwość skonfigurowania jednej lub wielu maszyn wirtualnych jako „Source„. Oznacza to, że możesz przekierować ruch sieciowy z kilku maszyn wirtualnych do jednej „Destination”, co ułatwia monitorowanie i diagnostykę sieci.

Dzięki temu możesz utworzyć dedykowaną maszynę wirtualną z zainstalowanymi narzędziami do analizy ruchu, takimi jak Wireshark, Suricata czy Zeek, co pozwoli Ci skutecznie monitorować i rozwiązywać problemy sieciowe. Dodatkowo Hyper-V umożliwia skonfigurowanie wielu maszyn docelowych na tym samym hoście, co daje większą elastyczność w zarządzaniu ruchem.

Aktywacja trybu mirroring

Teraz przejdź do konfiguracji maszyny docelowej:

Kliknij prawym przyciskiem myszy na „Destination” i wybierz Ustawienia.
Przejdź do sekcji karta sieciowa.
Znajdź opcję Tryb mirroringu i ustaw ją na Docelowy (Destination).
Zatwierdź zmiany, klikając OK.

Od tego momentu maszyna wirtualna będzie odbierać sklonowany ruch sieciowy, umożliwiając jego analizę i diagnostykę. To proste, ale potężne narzędzie, które może znacznie ułatwić zarządzanie siecią w środowisku wirtualnym.

Włączenie Port Mirroring na VM Destination

Konfiguracja mirroringu portów w Hyper-V za pomocą PowerShell

Jeśli wolisz pracować w Windows PowerShell, dobrą wiadomością jest to, że możesz skonfigurować swoją maszynę wirtualną bez konieczności używania interfejsu graficznego. Do tego celu służy polecenie Set-VMNetworkAdapter, które pozwala na konfigurację karty sieciowej maszyny wirtualnej.

Parametr `PortMirroring`

Cmdlet Set-VMNetworkAdapter używa parametru PortMirroring, który przyjmuje trzy wartości:

None – brak mirroringu (domyślna wartość),
Source – maszyna wirtualna działa jako źródło kopiowanych pakietów,
Destination – maszyna wirtualna działa jako odbiorca ruchu sieciowego.

Przykłady konfiguracji w PowerShell

W moim laboratorium mogę użyć następujących poleceń:

Set-VMNetworkAdapter -VMName VM-Source -PortMirroring Source

1	Set-VMNetworkAdapter -VMName VM-Source -PortMirroring Source

Set-VMNetworkAdapter -VMName VM-Destination -PortMirroring Destination

1 2	Set-VMNetworkAdapter -VMName VM-Destination -PortMirroring Destination

Należy pamiętać, że jeśli chcesz wyczyścić ten parametr, możesz użyć wartości None. Poniżej znajduje się składnia:

Set-VMNetworkAdapter –VMName VM_Source -PortMirroring None

1	Set-VMNetworkAdapter –VMName VM_Source -PortMirroring None

Aby włączyć funkcję Port Mirroring jako „Source” na wielu maszynach wirtualnych, użyj następującego polecenia:

Get-VM | Set-VMNetworkAdapter –PortMirroring Source

1	Get-VM \| Set-VMNetworkAdapter –PortMirroring Source

Na tym etapie musisz potwierdzić konfigurację swoich maszyn wirtualnych, korzystając z następujących poleceń programu PowerShell:

(Get-VMNetworkAdapter -VMName Source).PortMirroringMode<br>(Get-VMNetworkAdapter -VMName Destination).PortMirroringMode

1	(Get-VMNetworkAdapter -VMName Source).PortMirroringMode<br>(Get-VMNetworkAdapter -VMName Destination).PortMirroringMode

Wireshark

Ostatnim etapem konfiguracji jest instalacja Wireshark. W trakcie instalacji należy zaznaczyć opcję WinPcap.

Następnie na maszynie Source uruchom cmd i wykonaj ping na adres, np. 8.8.8.8, ping 8.8.8.8 -t.

Jednocześnie na maszynie Destination uruchom rejestrowanie. Wybierz kartę sieciową oraz kliknij na niebieską płetwę, by uruchomić rejestrowanie

Uruchomienie rejestracji ruchu z maszyny Source

W polu filtra wpisz icmp, aby pokazać jedynie część ruchu związaną z poleceniem ping.

Źródłowa maszyna wirtualna ma następujący adres IP: 192.168.0.13.

Docelowa maszyna wirtualna ma następujący adres IP: 192.168.0.4.

Analiza przechwyconego ruchu w Hyper-V

Po poprawnej konfiguracji Port Mirroring w Hyper-V możesz zweryfikować, czy ruch sieciowy jest skutecznie kopiowany do maszyny docelowej.

Na przykład, jeśli z maszyny źródłowej wysyłasz żądanie ICMP (ping) do serwera 8.8.8.8, powinieneś zobaczyć zarówno wysłane zapytanie, jak i odpowiedź powracającą do maszyny źródłowej. Jeśli usuniesz filtr dla protokołu ICMP w narzędziu do analizy pakietów, zobaczysz, że cały ruch sieciowy jest przechwytywany, a nie tylko ping.

Kluczowe zasady konfiguracji Port Mirroring w Hyper-V

Podczas konfiguracji Port Mirroring pamiętaj, że działa on w konfiguracji pary:

Maszyna wirtualna źródłowa – urządzenie, z którego kopiowany jest ruch.
Maszyna wirtualna docelowa – urządzenie odbierające sklonowany ruch do analizy.

Jak Hyper-V przekierowuje ruch?

Hyper-V wykorzystuje rozszerzone możliwości przełącznika wirtualnego, aby przekierowywać ruch pomiędzy portami wirtualnymi. W praktyce działa to poprzez zastosowanie list kontroli dostępu portów (ACL), które tworzą regułę przekierowującą ruch sieciowy z jednego wirtualnego portu do drugiego. Dzięki temu pakiety są kopiowane i przesyłane do maszyny docelowej, umożliwiając ich analizę za pomocą narzędzi takich jak Wireshark.

To podejście sprawia, że Hyper-V jest potężnym narzędziem do monitorowania i diagnostyki sieci, szczególnie w środowiskach testowych i produkcyjnych.

Podsumowanie

Dzięki funkcji Hyper-V Port Mirroring diagnozowanie problemów sieciowych w maszynach wirtualnych staje się prostsze niż kiedykolwiek. Ta funkcja jest dostępna w systemach Windows 10, Windows Server 2012 i nowszych, co sprawia, że możesz jej używać zarówno w środowiskach testowych, jak i produkcyjnych.

Jeśli pracujesz w środowisku Hyper-V Cluster, warto pamiętać, że Port Mirroring działa tylko w obrębie tego samego hosta. Oznacza to, że jeśli ruch sieciowy maszyny wirtualnej przemieszcza się między różnymi węzłami klastra, musisz skonfigurować osobną maszynę docelową (Destination) na każdym hoście, aby móc skutecznie monitorować ruch między węzłami.

Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.

Link do formularza tutaj: https://beitadmin.pl/pomysly

Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).