Port-Spiegelung in Hyper-V: Eine Einrichtungsanleitung

Die Fehlerbehebung ist eine häufige Aufgabe für Systemadministratoren, die mit Netzwerken arbeiten. Professionelle Netzwerkgeräte verfügen in der Regel über Funktionen zur Überwachung und Fehlerbehebung, wie beispielsweise Port-Spiegelung. Die Port-Spiegelung kann auch für die Analyse des Netzwerkverkehrs in virtuellen Umgebungen nützlich sein, einschließlich virtueller Netzwerke auf Microsoft Hyper-V-Hosts und der Netzwerkkommunikation zwischen VMs. In diesem Blogbeitrag wird erläutert, wie Sie die Portspiegelung von Microsoft Hyper-V für die Analyse der Netzwerkkommunikation in einer virtuellen Umgebung konfigurieren.

NAKIVO for Hyper-V Backup

Agentless, application-aware backups for Hyper-V. Anti-ransomware protection, instant VM boot from backup, other virtual/physical platform support and more.

DISCOVER SOLUTION

Portspiegelung – wichtige Konzepte

Bevor wir die Konfiguration der Portspiegelung erläutern, wollen wir uns zunächst mit den wichtigsten Konzepten, der Funktionsweise und den vorhandenen Hyper-V-Funktionen befassen.

Was ist Portspiegelung?

Port-Spiegelung ist eine Funktionalität, mit der Sie den Netzwerkverkehr des Netzwerkports eines Quellhosts auf einen Netzwerkport (Adapter) eines sekundären Hosts duplizieren können, um diesen Datenverkehr weiter zu analysieren. Ein Host kann ein physischer Computer, eine Virtuelle Maschine, ein Netzwerkgerät mit einer Netzwerkschnittstelle usw. sein. Ein Quellhost ist der Host, dessen Netzwerkverkehr in diesem Zusammenhang überwacht wird. Der Quellport wird auch als gespiegelter Port bezeichnet, und der Zielport wird auch als beobachteter Port bezeichnet. Port-Spiegelung wird auch als Switched Port Analyzer (SPAN) bezeichnet.

Arten und Vorteile

Port-Spiegelung kann lokal und remote erfolgen, je nach Verbindungsmodus zwischen den Ports. Bei der lokalen Port-Spiegelung Die Quell- und Zielnetzwerkports sind mit demselben Switch verbunden. Remote-Port-Spiegelung wird verwendet, wenn die Quell- und Zielports mit unterschiedlichen Switches verbunden sind. VLAN-Tagging und GRE-Kapselung können für die Remote-Port-Spiegelung verwendet werden, um den Netzwerkverkehr an den überwachten Port und das überwachte Gerät zu übertragen.

Der Vorteil der Port-Spiegelung besteht darin, dass die Netzwerkkommunikation analysiert und debuggt werden kann, ohne die Verarbeitung der aktiven Netzwerkgeräte zu beeinträchtigen. Administratoren können den Datenverkehr analysieren, um mögliche Angriffe über das Netzwerk zu identifizieren, die Angriffsquelle erkennen und die Netzwerksicherheit verbessern. Bei Verwendung von Port-Spiegelung ist es nicht erforderlich, den Netzwerkverkehr direkt in einem Gastbetriebssystem einer aktiven Maschine (z. B. einer Produktions-VM) zu erfassen.

Beachten Sie, dass die Port-Spiegelung zusätzliche Netzwerkbandbreite für die Übertragung des gespiegelten Datenverkehrs verbraucht und Sie diese Funktion möglicherweise bei Bedarf aktivieren müssen, wenn Sie eine Netzwerkanalyse durchführen möchten.

Port-Spiegelung vs. Port-Weiterleitung

Port-Spiegelung unterscheidet sich von Port-Weiterleitung, da der Netzwerkverkehr, wie TCP-Pakete oder UDP-Datagramme, bei der Port-Spiegelung nicht umgeleitet werden kann. Der Datenverkehr kann gespiegelt (dupliziert) werden, aber die Quelle und das Ziel der ursprünglichen Datenverkehrsrichtung werden nicht geändert. Eine Kopie des ursprünglichen Datenverkehrs wird zur Analyse an den Zielort gesendet.

Bei der Portweiterleitung kann das Ziel des Datenverkehrs (z. B. TCP-Pakete oder UDP-Datagramme) geändert werden, und bestimmte Pakete (oder andere Protokolldateneinheiten) können eine andere IP-Adresse und einen anderen Port in IP-Netzwerken erreichen. Die Portweiterleitung wird zusammen mit der Netzwerkadressübersetzung (NAT) für die Kommunikation zwischen Netzwerken verwendet. Es wird keine Kopie des ursprünglichen Datenverkehrs erstellt.

Portspiegelung in Hyper-V

Sie können die Portspiegelungs-Funktionalität in Hyper-V verwenden, um den Datenverkehr in den virtuellen Netzwerken zu analysieren, mit denen VMs über virtuelle Switches verbunden sind. Sie müssen eine Ziel-VM definieren und eine Software zur Datenerfassung wie Wireshark für die Datenverkehrsanalyse installieren. Zu diesem Zweck können Sie auch andere verfügbare Intrusion Detection Systeme (IDS) verwenden.

Die Hyper-V-Port-Spiegelungsfunktion ähnelt der Hardware-Port-Spiegelung, wird jedoch auf der Ebene des virtuellen Hyper-V-Switches implementiert. Switch-Erweiterungsfunktionen und Port-ACLs (Zugriffslisten) werden auf einem virtuellen Hyper-V-Switch verwendet, um Regeln für die Weiterleitung und das Sniffing des Datenverkehrs festzulegen.

Die Portspiegelung funktioniert nur innerhalb der Grenzen eines einzelnen Hyper-V-Hosts. Befinden sich virtuelle Maschinen auf verschiedenen Hyper-V-Hosts (z. B. in einem Failover-Cluster nach der Migration einer VM von einem Host auf einen anderen), kann die Hyper-V-Portspiegelung nicht verwendet werden. In diesem Fall müssen Sie eine zusätzliche Ziel-VM für die Netzwerkanalyse auf dem zweiten Hyper-V-Host konfigurieren, auf den die Quell-VM migriert wurde.

Vorbereitung für die Port-Spiegelungskonfiguration

Sie sollten sich mit den Anforderungen für die Konfiguration der Hyper-V-Port-Spiegelung vertraut machen.

Voraussetzungen und Einrichtungsbedingungen

Nachfolgend finden Sie die Anforderungen für die Konfiguration der Portspiegelung in einer Hyper-V-Umgebung:

• Windows Server 2012 R2 (oder neuer) mit Hyper-V und Rechten für die Verwaltung. Windows 10 oder höher kann als Client-Betriebssystem verwendet werden.
• Ein virtueller Switch auf einem Hyper-V-Host.
• Mindestens zwei virtuelle Maschinen, um den Datenverkehr von der Quelle zur Ziel-VM zu spiegeln (duplizieren).

Hardware- und Software-Checkliste

Die Installation eines Traffic Sniffers (Traffic Analyzer) oder eines Intrusion Detection Systems auf der Ziel-VM ist erforderlich. Beispiele für solche Tools sind Wireshark, Microsoft Network Monitor, Ettercap und SmartSniff.

Konfigurationsschritte

Wir haben zwei Windows-VMs auf einem Hyper-V-Host:

• Wind0ws-VM – die Quelle-VM (192.168.101.215)
• Win-VM-Dest – das Ziel-System (192.168.101.212)

Ein Hyper-V-Host wird unter Windows Server 2019 konfiguriert. Die Konfiguration für andere unterstützte Windows-Versionen ist identisch.

Konfigurieren eines virtuellen Switches

Sie können einen vorhandenen virtuellen Switch verwenden oder einen neuen virtuellen Switch erstellen. Wenn auf dem Hyper-V-Host kein virtueller Switch vorhanden ist, erstellen Sie einen neuen virtuellen Switch. Um einen virtuellen Switch zu erstellen, gehen Sie wie folgt vor:

1. Öffnen Sie den Hyper-V-Manager, klicken Sie mit der rechten Maustaste auf den Hyper-V-Host und wählen Sie im Kontextmenü „ Virtual Switch Manager“ aus.

   

2. Wählen Sie einen virtuellen Switch-Typ aus und klicken Sie auf Virtuellen Switch erstellen. Zu diesem Zweck verwenden wir vSwitch0, einen externen Switch (gebrücktes Netzwerk). Klicken Sie auf „ <“ (OK) >„OK“ (OK) , um die Einstellungen zu speichern und das Fenster zu schließen.

   

Konfigurieren der Quelle

Sobald ein virtueller Switch bereit ist, können Sie die Quelle konfigurieren, deren Datenverkehr Sie überwachen möchten.

1. Um die Einstellungen der Quell-VM im Hyper-V-Manager zu öffnen, klicken Sie mit der rechten Maustaste auf den VM-Name und wählen Sie im Kontextmenü „ <“ (Einstellungen) >„Settings“ (Einstellungen) „
   <“ (Netzwerkadapter) >

2. Im Fenster „VM settings“ (VM-Einstellungen) navigieren Sie zu „ <“ (Netzwerkadapter) >Netzwerkadapter > Erweiterte Funktionen.
3. Wählen Sie im Abschnitt „ Port Mirroring “ im Dropdown-Menü „ Quelle “ als Spiegelungsmodus aus. Diese Aktion aktiviert die Hyper-V-Portspiegelung für den Port des verbundenen virtuellen Switches, mit dem der aktuelle Port der VM verbunden ist. Klicken Sie auf OK , um die Einstellungen zu speichern.

   

4. Merken Sie sich den Namen des virtuellen Switches, mit dem der virtuelle Netzwerkadapter der Quelle verbunden ist. Der Vorteil besteht darin, dass Sie mehr als eine Quelle für die Virtuellen Maschinen konfigurieren können, um den Datenverkehr aller VMs auf der Ziel-VM zu analysieren.

Der weitere Schritt besteht darin, die virtuelle Zielmaschine zu konfigurieren, auf die der Netzwerkverkehr gespiegelt (dupliziert) wird.

Konfigurieren der Ziel-VM

Es wird empfohlen, einen zusätzlichen Netzwerkadapter auf der Ziel-VM zu erstellen und alle Netzwerkdienste für diesen Netzwerkadapter zu deaktivieren, um eine genauere Analyse zu ermöglichen. Mit diesem Ansatz können Sie den vollständigen Speicherauszug des Netzwerkverkehrs erhalten, nach der Deaktivierung nicht benötigter Netzwerkdienste und Protokolle.

1. Fahren Sie die Ziel-VM herunter, wenn sie ausgeführt wird.
2. Um die VM-Einstellungen der Ziel-VM zu öffnen, klicken Sie mit der rechten Maustaste auf den VM-Name im Hyper-V-Manager und wählen Sie „ <“ (Einstellungen anzeigen). >Einstellungen.
3. Klicken Sie auf Hardware hinzufügen im linken Bereich des Fensters „VM-Einstellungen“ aus, wählen Sie Netzwerkadapterund klicken Sie auf Fügen Siehinzu.

   

4. Wählen Sie den virtuellen Switch aus, mit dem der zweite virtuelle Netzwerkadapter verbunden werden soll. Dies muss derselbe virtuelle Switch sein, mit dem auch die erste (Quelle-)VM verbunden ist. In unserem Fall ist dies vSwitch0. Klicken Sie auf OK , um die Einstellungen zu speichern und das Fenster zu schließen.

   

5. Öffnen Sie erneut die VM-Einstellungen der Ziel-VM.
6. Wählen Sie den zweiten virtuellen Netzwerkadapter aus, der für die Portspiegelung und die Verkehrsdiagnose erstellt wurde (in der Liste der VM-Hardware im linken Fensterbereich), und gehen Sie zu Netzwerkadapter > Erweiterte Funktionen.
7. Wählen Sie im Abschnitt Port-Spiegelung die Option Ziel als Spiegelungsmodus aus, um den gespiegelten Netzwerkverkehr zu empfangen. Klicken Sie auf „ <“ >OK.

   

8. Schalten Sie die VMs ein.
9. Verbinden Sie sich mit der Ziel-VM, die zum Empfangen und Analysieren des Datenverkehrs erstellt wurde (mit Hyper-V VMConnect oder RDP).

   

10. Öffnen Sie Netzwerk- und Freigabecenter in der Ziel-Windows-VM. Klicken Sie auf Adaptereinstellungen ändern.
11. Wählen Sie den zweiten Netzwerkadapter aus, der für die Verkehrsanalyse erstellt wurde (Sie können diesen Adapter umbenennen in LAN2-SPAN , um die Handhabung zu vereinfachen).
12. Klicken Sie mit der rechten Maustaste auf den Netzwerkadapter und wählen Sie „ <“ (Eigenschaften) >„Properties“ (Eigenschaften).

    

Jetzt können Sie Software für die Netzwerkverkehrsanalyse, wie z. B. WireShark, auf der Ziel-VM installieren und konfigurieren.

Installation eines Datenverkehrsanalysators

1. Herunterladen von und Installation von Wireshark auf der Ziel-VM. Der Installationsvorgang ist im GUI-Assistenten sehr einfach – Sie können die Standardeinstellungen verwenden.
2. Führen Sie Wireshark auf der Ziel-VM aus.
3. Doppelklicken Sie im Wireshark-Fenster auf den Netzwerkadapter, der speziell für Port-Spiegelung und Netzwerkverkehrsanalyse (LAN2-SPAN) erstellt wurde.

   

4. Jetzt können Sie die Netzwerkaktivität der Quell-VM sehen (die IP-Adresse der Quell-VM lautet 192.168.101.215). Pingen wir google.com auf der Quelle an.
5. Wir können die ICMP-Anfragen und -Antworten an/von 142.251.208.110 sehen, die IP-Adresse des google.com-Hosts zu diesem Zeitpunkt.

   

6. Zur Vereinfachung können Sie einen Filter aktivieren, indem Sie beispielsweise ICMP auswählen.

   

Dies ist ein grundlegendes Beispiel. Sie können andere Netzwerkaktivitäten mit anderen Protokollen überwachen und analysieren.

PowerShell

Das Windows Server-Betriebssystem ermöglicht Ihnen auch die Konfiguration und Verwaltung von Hyper-V-Port-Spiegelung in PowerShell.

Um die Port-Spiegelung auf der Quelle und auf der Ziel-VM zu aktivieren, führen Sie die entsprechenden Befehle aus:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

So deaktivieren Sie die Port-Spiegelung für eine VM:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

So überprüfen Sie die Port-Spiegelungseinstellungen für VMs:

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Mit den folgenden Befehlen können Sie Hilfeinformationen anzeigen:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

Die folgenden Befehle können zum Konfigurieren der Port-Spiegelung nützlich sein:

Add-VMNetworkAdapter – Hinzufügen eines neuen Virtuellen Netzwerks für eine VM

Get-NetAdapter – Anzeige der Netzwerkadapter für eine VM

Rename-Netadapter – Namen für einen virtuellen Netzwerkadapter einer VM ändern

Fazit

Die Konfiguration der Hyper-V-Portspiegelung kann bequem in der grafischen Benutzeroberfläche des Hyper-V-Managers oder in PowerShell vorgenommen werden. Befolgen Sie die Anforderungen und beachten Sie die Einschränkungen, wie z. B. den Standort der Quellen- und Ziel-VMs auf einem einzelnen Hyper-V-Host. Möglicherweise müssen Sie zusätzliche Ziel-VMs mit einem Tool zur Verkehrsanalyse auf Hyper-V-Hosts in einem Failover-Cluster konfigurieren. Wireshark ist ein praktisches und beliebtes Tool zur Analyse des Datenverkehrs, aber Sie können bei Bedarf auch andere Tools verwenden.

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free