NAKIVO > Blog

Mise en miroir de port dans Hyper-V : guide de configuration

Publié le: août 19, 2024

Written by: NAKIVO Team

Le dépannage est une tâche courante pour les administrateurs système qui travaillent avec des réseaux. Les équipements réseau professionnels disposent généralement de fonctionnalités de surveillance et de dépannage, telles que la mise en miroir des ports. La mise en miroir des ports peut également être utile pour analyser le trafic réseau dans les environnements virtuels, y compris les réseaux virtuels sur les hôtes Microsoft Hyper-V et les communications réseau entre les machines virtuelles. Cet article de blog explique comment configurer la mise en miroir des ports Microsoft Hyper-V pour analyser les communications réseau dans un environnement virtuel.

NAKIVO for Hyper-V Backup

NAKIVO for Hyper-V Backup

Agentless, application-aware backups for Hyper-V. Anti-ransomware protection, instant VM boot from backup, other virtual/physical platform support and more.

DISCOVER SOLUTION

Concepts clés de la mise en miroir des ports

Avant d’expliquer comment configurer la mise en miroir des ports, explorons les concepts clés, le principe de fonctionnement et les fonctionnalités de configuration Microsoft Hyper-V existantes.

Qu’est-ce que la mise en miroir des ports ?

La mise en miroir des ports est une fonctionnalité qui vous permet de dupliquer le trafic réseau du port réseau d’un hôte source vers un port réseau (adaptateur) d’un hôte secondaire afin d’analyser plus en détail ce trafic. Un hôte peut être une machine physique, une machine virtuelle, un équipement réseau doté d’une interface réseau, etc. Un hôte source est l’hôte dont le trafic réseau est surveillé dans ce contexte. Le port source est également appelé port miroir et le port de destination est également appelé port observé. La mise en miroir des ports est également appelée Switched Port Analyzer (SPAN).

Types et avantages

La mise en miroir des ports peut être locale ou distante, selon le mode de connexion entre les ports. Pour la mise en miroir locale des ports, les ports réseau source et destination sont connectés au même commutateur. La mise en miroir de port à distance est utilisée lorsque les ports source et destination sont connectés à des commutateurs différents. Le balisage VLAN et l’encapsulation GRE peuvent être utilisés pour la mise en miroir de port à distance afin de transférer le trafic réseau vers le port et l’appliance surveillés.

L’avantage de la mise en miroir de port est la possibilité d’analyser et de déboguer les communications réseau sans affecter le traitement des appliances réseau en service. Les administrateurs peuvent analyser le trafic pour identifier les attaques possibles sur le réseau, détecter la source de l’attaque et améliorer la sécurité du réseau. Il n’est pas nécessaire de capturer le trafic réseau directement dans un système d’exploitation invité d’une machine en fonctionnement (qui peut être une machine virtuelle de production, par exemple) lorsque vous utilisez la mise en miroir des ports.

Notez que la mise en miroir des ports consomme une bande passante réseau supplémentaire pour transférer le trafic mis en miroir, et vous devrez peut-être activer cette fonctionnalité à la demande lorsque vous devez effectuer une analyse du réseau.

Mise en miroir des ports vs. redirection des ports

La mise en miroir des ports diffère de la redirection des ports car le trafic réseau, tel que les paquets TCP ou les datagrammes UDP, ne peut pas être redirigé dans la mise en miroir des ports. Le trafic peut être mis en miroir (dupliqué), mais la source et la destination du trafic d’origine ne sont pas modifiées. Une copie du trafic d’origine est envoyée à l’emplacement de destination pour analyse.

Dans le transfert de port, la destination du trafic (tels que les paquets TCP ou les datagrammes UDP) peut être modifiée, et des paquets spécifiques (ou d’autres unités de données de protocole) peuvent atteindre une autre adresse IP et un autre port dans les réseaux IP. Le transfert de port est utilisé avec la traduction d’adresses réseau (NAT) pour la communication entre les réseaux. Aucune copie du trafic d’origine n’est créée.

Mise en miroir des ports dans Hyper-V

Vous pouvez utiliser la fonctionnalité de mise en miroir des ports dans Hyper-V pour analyser le trafic dans les réseaux virtuels auxquels les VMs sont connectées via des commutateurs virtuels. Vous devez définir une machine virtuelle de destination et installer un logiciel de capture de trafic tel que Wireshark pour analyser le trafic. Vous pouvez utiliser d’autres systèmes de détection d’intrusion (IDS) disponibles à cette fin.

La fonctionnalité de mise en miroir des ports Hyper-V est similaire à la mise en miroir des ports matériels, mais elle est implémentée au niveau du commutateur virtuel Hyper-V. Les capacités d’extension du commutateur et les listes de contrôle d’accès (ACL) des ports sont utilisées sur un commutateur virtuel Hyper-V pour définir des règles de transfert et d’analyse du trafic.

La mise en miroir des ports ne fonctionne que dans les limites d’un seul hôte Hyper-V. Si les Virtuelles Maschinen sont situées sur différents hôtes Hyper-V (par exemple, dans un cluster de basculement, après la migration d’une Virtuelle Maschine d’un hôte à un autre), la mise en miroir des ports Hyper-V ne peut pas être utilisée. Dans ce cas, vous devez configurer une machine virtuelle de destination supplémentaire pour l’analyse du réseau sur le deuxième hôte Hyper-V vers lequel la machine virtuelle source a été migrée.

Préparation de la configuration de la mise en miroir des ports

Vous devez vous familiariser avec les conditions à remplir pour la configuration de la mise en miroir des ports Hyper-V.

Conditions préalables et conditions d’installation

Vous trouverez ci-dessous les conditions à remplir pour configurer la mise en miroir de port dans un environnement Hyper-V :

  • Windows Server 2012 R2 (ou version ultérieure) avec Hyper-V et accès administratif. Windows 10 ou version ultérieure peut être utilisé comme système d’exploitation client.
  • Un commutateur virtuel sur un hôte Hyper-V.
  • Au moins deux machines virtuelles pour refléter (dupliquer) le trafic de la machine virtuelle source vers la machine virtuelle de destination.

Liste de contrôle du matériel et des logiciels

L’installation d’un renifleur de trafic (analyseur de trafic) ou d’un système de détection d’intrusion sur la machine virtuelle de destination est nécessaire. Wireshark, Microsoft Network Monitor, Ettercap et SmartSniff sont des exemples de tels outils.

Étapes de configuration

Nous avons deux VMs Windows sur un hôte Hyper-V :

  • Wind0ws-VM – la VM source (192.168.101.215)
  • Win-VM-Dest – la machine virtuelle de destination (192.168.101.212)

Un hôte Hyper-V est configuré sur Windows Server 2019. La configuration pour les autres versions Windows prises en charge est identique.

Configuration d’un commutateur virtuel

Vous pouvez utiliser un commutateur virtuel existant ou en créer un nouveau. S’il n’y a pas de commutateur virtuel sur l’hôte Hyper-V, créez un nouveau commutateur virtuel. Pour créer un commutateur virtuel, procédez comme suit :

  1. Ouvrez Hyper-V Manager, cliquez avec le bouton droit sur l’hôte Hyper-V et sélectionnez Virtual Switch Manager dans le menu contextuel.

    Opening a Virtual Switch Manager on a Hyper-V host

  2. Sélectionnez un type de commutateur virtuel et cliquez sur Créer un commutateur virtuel. À cette fin, nous utilisons vSwitch0, un commutateur externe (réseau ponté). Cliquez sur OK pour enregistrer les paramètres et fermer la fenêtre.

    Configuring a virtual switch for Hyper-V port mirroring

Configuration de la machine virtuelle source

Une fois le commutateur virtuel prêt, vous pouvez configurer la machine virtuelle source dont vous souhaitez surveiller le trafic.

  1. Pour ouvrir les paramètres de la machine virtuelle source dans Hyper-V Manager, cliquez avec le bouton droit sur le VM-Name de la machine virtuelle et sélectionnez Paramètres dans le menu contextuel.

    Opening the source VM settings

  2. Dans la fenêtre des paramètres de la machine virtuelle, accédez à Carte réseau > Fonctionnalités avancées.
  3. Dans la section Port Mirroring , sélectionnez Source comme mode de mise en miroir dans le menu déroulant. Cette action active la mise en miroir des ports Hyper-V pour le port du commutateur virtuel connecté auquel le port actuel de la machine virtuelle est connecté. Cliquez sur OK pour enregistrer les paramètres.

    Configure port mirroring on the source VM

  4. Mémorisez le nom du commutateur virtuel auquel la carte réseau virtuelle de la VM source est connectée. L’avantage est que vous pouvez configurer plusieurs machines virtuelles sources pour analyser le trafic de toutes les machines virtuelles sur la machine virtuelle de destination.

L’étape suivante consiste à configurer la machine virtuelle de destination à laquelle le trafic réseau sera mis en miroir (dupliqué).

Configuration de la machine virtuelle de destination

La pratique recommandée consiste à créer une carte réseau supplémentaire sur la machine virtuelle de destination et à désactiver tous les services réseau pour cette carte réseau afin d’obtenir une analyse plus précise. Cette approche vous permet d’obtenir le dump complet du trafic réseau après avoir désactivé les services et protocoles réseau inutiles.

  1. Arrêtez la machine virtuelle de destination si elle est en cours d’exécution.
  2. Pour ouvrir les paramètres de la machine virtuelle de destination, cliquez avec le bouton droit sur le VM-Name dans le Gestionnaire Hyper-V et sélectionnez Paramètres.
  3. Cliquez sur Ajouter du matériel dans le volet gauche de la fenêtre des paramètres de la machine virtuelle, sélectionnez Carte réseau, puis cliquez sur Ajoutez.

    Adding the second virtual network adapter

  4. Sélectionnez le commutateur virtuel auquel la deuxième carte réseau virtuelle sera connectée. Il doit s’agir du même commutateur virtuel que celui auquel la première machine virtuelle (source) est connectée. Dans notre cas, il s’agit de vSwitch0. Cliquez sur OK pour enregistrer les paramètres et fermer la fenêtre.

    Selecting a virtual switch to connect the virtual network adapter

  5. Ouvrez à nouveau les paramètres de la machine virtuelle de destination.
  6. Sélectionnez la deuxième carte réseau virtuelle créée pour la mise en miroir des ports et le diagnostic du trafic (dans la liste du matériel de la machine virtuelle dans le volet gauche) et accédez à Carte réseau > Fonctionnalités avancées.
  7. Dans la section Mise en miroir des ports , sélectionnez Destination comme mode de mise en miroir pour recevoir le trafic réseau mis en miroir. Cliquez sur OK.

    Configure port mirroring on the destination VM

  8. Mettez les VMs sous tension.
  9. Connectez-vous à la machine virtuelle de destination qui a été créée pour recevoir et analyser le trafic (avec Hyper-V VMConnect ou RDP).

    Connecting to the destination VM in Hyper-V Manager

  10. Ouvrez Centre Réseau et partage dans la machine virtuelle Windows de destination. Cliquez sur Modifier les paramètres de la carte.
  11. Sélectionnez la deuxième carte réseau créée pour l’analyse du trafic (vous pouvez renommer cette carte LAN2-SPAN pour plus de commodité).
  12. Cliquez avec le bouton droit sur la carte réseau et sélectionnez Propriétés.

    Disabling network services for port mirroring in the destination VM

Vous pouvez désormais installer et configurer un logiciel d’analyse du trafic réseau, tel que WireShark, sur la machine virtuelle de destination.

Installation d’un analyseur de trafic

  1. Téléchargez et installez Wireshark sur la machine virtuelle de destination. Le processus d’installation est simple dans l’assistant GUI : vous pouvez utiliser les paramètres par défaut.
  2. Exécutez Wireshark sur la VM de destination.
  3. Double-cliquez sur la carte réseau créée spécialement pour la mise en miroir des ports et l’analyse du trafic réseau (LAN2-SPAN) dans la fenêtre Wireshark.

    Selecting a network adapter for traffic analyzing

  4. Vous pouvez désormais voir l’activité réseau de la VM source (l’adresse IP de la VM source est 192.168.101.215). Lançons une requête ping vers google.com sur la VM source.
  5. Nous pouvons voir les requêtes ICMP et les réponses vers/depuis 142.251.208.110, qui est l’adresse IP de l’hôte google.com à ce moment-là.

    Using Wireshark for traffic analysis after configuring Hyper-V port mirroring

  6. Pour plus de commodité, vous pouvez activer un filtre, par exemple, sélectionner ICMP.

    Using a filter for ICMP protocol in Wireshark

Il s’agit d’un exemple basique. Vous pouvez surveiller et analyser d’autres activités réseau à l’aide d’autres protocoles.

PowerShell

Le système d’exploitation Windows Server vous permet également de configurer et de gérer la mise en miroir des ports Hyper-V dans PowerShell.

Pour activer la mise en miroir des ports sur la machine virtuelle source et la machine virtuelle de destination, exécutez les commandes correspondantes :

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Pour désactiver la mise en miroir des ports pour une machine virtuelle :

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Pour vérifier les paramètres de mise en miroir des ports pour les VMs :

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Vous pouvez utiliser les commandes suivantes pour afficher les informations d’aide :

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

Les commandes suivantes peuvent être utiles pour configurer la mise en miroir des ports :

Add-VMNetworkAdapter – Ajouter une nouvelle carte réseau virtuelle pour une machine virtuelle

Get-NetAdapter – Afficher la liste des cartes réseau pour une machine virtuelle

Rename-Netadapter – Modifier le nom d’une carte réseau virtuelle d’une machine virtuelle

Conclusion

La configuration de la mise en miroir des ports Hyper-V peut être effectuée facilement dans l’interface utilisateur graphique de Hyper-V Manager ou dans PowerShell. Suivez les conditions à remplir et gardez à l’esprit les limitations, telles que l’emplacement des VMs source et destination sur un seul hôte Hyper-V. Vous devrez peut-être configurer des VMs de destination supplémentaires à l’aide d’un outil d’analyse du trafic sur les hôtes Hyper-V d’un cluster de basculement. Wireshark est un outil pratique et populaire pour analyser le trafic, mais vous pouvez utiliser d’autres outils si nécessaire.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Les gens qui ont consulté cet article ont également lu

Picture
Comment mettre à jour les composants de la solution NAKIVO
Picture
Microsoft 365 Advanced Threat Protection : aperçu complet
Picture
vSphere 7.0 Update 2 &#8211 ; Principales améliorations et nouvelles fonctionnalités