Chức năng phản chiếu cổng trong Hyper-V: Hướng dẫn cài đặt

Khắc phục sự cố là một nhiệm vụ thường gặp đối với các quản trị viên hệ thống làm việc trong lĩnh vực mạng. Thiết bị mạng chuyên nghiệp thường được trang bị các tính năng giám sát và khắc phục sự cố, chẳng hạn như tính năng sao chép cổng (port mirroring). Tính năng sao chép cổng cũng rất hữu ích trong việc phân tích lưu lượng mạng trong các môi trường ảo, bao gồm các mạng ảo trên máy chủ Microsoft Hyper-V và giao tiếp mạng giữa các máy ảo (VM). Bài viết này sẽ hướng dẫn cách cấu hình tính năng sao chép cổng trên Microsoft Hyper-V để phân tích giao tiếp mạng trong môi trường ảo.

NAKIVO cho sao lưu Hyper-V

Sao lưu không cần cài đặt phần mềm đại lý, hỗ trợ nhận diện ứng dụng cho Hyper-V. Bảo vệ chống ransomware, khởi động máy ảo ngay lập tức từ bản sao lưu, hỗ trợ các nền tảng ảo hóa và vật lý khác, cùng nhiều tính năng khác.

KHÁM PHÁ GIẢI PHÁP

Các khái niệm chính về sao chép cổng

Trước khi giải thích cách cấu hình sao chép cổng, hãy cùng tìm hiểu các khái niệm chính, nguyên lý hoạt động và các tính năng cấu hình hiện có của Hyper-V.

Sao chép cổng là gì?

Sao chép cổng là tính năng cho phép bạn sao chép lưu lượng mạng từ cổng mạng của máy chủ nguồn sang một cổng mạng (bộ điều hợp) của máy chủ thứ cấp để phân tích sâu hơn về lưu lượng này. Một máy chủ có thể là máy vật lý, máy ảo, thiết bị mạng có giao diện mạng, v.v. Máy chủ nguồn là máy chủ mà lưu lượng mạng của nó được giám sát trong bối cảnh này. Cổng nguồn còn được gọi là cổng được nhân bản và cổng đích còn được gọi là cổng được quan sát. Nhân bản cổng còn được gọi là Switched Port Analyzer (SPAN).

Các loại và lợi ích

Nhân bản cổng có thể là cục bộ hoặc từ xa, tùy thuộc vào chế độ kết nối giữa các cổng. Đối với sao chép cổng cục bộ, các cổng mạng nguồn và đích được kết nối với cùng một bộ chuyển mạch. Sao chép cổng từ xa được sử dụng khi các cổng nguồn và đích được kết nối với các bộ chuyển mạch khác nhau. Gắn thẻ VLAN và đóng gói GRE có thể được sử dụng cho sao chép cổng từ xa để chuyển lưu lượng mạng đến cổng và thiết bị được giám sát.

Lợi ích của sao chép cổng là khả năng phân tích và gỡ lỗi giao tiếp mạng mà không ảnh hưởng đến quá trình xử lý của các thiết bị mạng đang hoạt động. Quản trị viên có thể phân tích lưu lượng để xác định các cuộc tấn công tiềm ẩn trên mạng, phát hiện nguồn tấn công và nâng cao bảo mật mạng. Không cần phải ghi lại lưu lượng mạng trực tiếp trong hệ điều hành khách của một máy đang hoạt động (ví dụ: một máy ảo sản xuất) khi sử dụng sao chép cổng.

Lưu ý rằng sao chép cổng tiêu tốn băng thông mạng bổ sung để chuyển tiếp lưu lượng được sao chép, và bạn có thể cần kích hoạt tính năng này theo yêu cầu khi cần thực hiện phân tích mạng.

So sánh giữa phản chiếu cổng và chuyển tiếp cổng

Phản chiếu cổng khác với chuyển tiếp cổng vì lưu lượng mạng, chẳng hạn như gói tin TCP hoặc datagram UDP, không thể được chuyển hướng trong phản chiếu cổng. Lưu lượng có thể được phản chiếu (sao chép), nhưng nguồn và đích của hướng lưu lượng ban đầu không bị thay đổi. Một bản sao của lưu lượng ban đầu được gửi đến vị trí đích để phân tích. Trong chuyển tiếp cổng, điểm đến của lưu lượng (chẳng hạn như các gói TCP hoặc các gói tin UDP) có thể được thay đổi, và các gói tin cụ thể (hoặc các đơn vị dữ liệu giao thức khác) có thể đến một địa chỉ IP và cổng khác trong mạng IP. Chuyển tiếp cổng được sử dụng cùng với dịch địa chỉ mạng (NAT) để thực hiện giao tiếp giữa các mạng. Không có bản sao nào của lưu lượng truy cập gốc được tạo ra.

Chức năng phản chiếu cổng trong Hyper-V

Bạn có thể sử dụng chức năng phản chiếu cổng trong Hyper-V để phân tích lưu lượng truy cập trong các mạng ảo mà các máy ảo (VM) kết nối thông qua các bộ chuyển mạch ảo. Bạn cần xác định một máy ảo đích và cài đặt phần mềm ghi lại lưu lượng như Wireshark để phân tích lưu lượng. Bạn có thể sử dụng các hệ thống phát hiện xâm nhập (IDS) khác có sẵn cho mục đích này.

Tính năng sao chép cổng trong Hyper-V tương tự như sao chép cổng phần cứng nhưng được triển khai ở cấp độ bộ chuyển mạch ảo Hyper-V. Các tính năng mở rộng của bộ chuyển mạch và danh sách kiểm soát truy cập (ACL) cổng được sử dụng trên bộ chuyển mạch ảo Hyper-V để thiết lập quy tắc cho việc chuyển tiếp và theo dõi lưu lượng.

Gương cổng chỉ hoạt động trong phạm vi của một máy chủ Hyper-V duy nhất. Nếu các máy ảo nằm trên các máy chủ Hyper-V khác nhau (ví dụ: trong cụm dự phòng, sau khi di chuyển máy ảo từ máy chủ này sang máy chủ khác), thì không thể sử dụng gương cổng Hyper-V. Trong trường hợp này, bạn cần cấu hình một máy ảo đích bổ sung để phân tích mạng trên máy chủ Hyper-V thứ hai mà máy ảo nguồn đã được di chuyển đến.

Chuẩn bị cho cấu hình phản chiếu cổng

Bạn nên làm quen với các yêu cầu để cấu hình phản chiếu cổng Hyper-V.

Điều kiện tiên quyết và thiết lập

Dưới đây là các yêu cầu để cấu hình phản chiếu cổng trong môi trường Hyper-V:

• Windows Server 2012 R2 (hoặc mới hơn) với Hyper-V và quyền truy cập quản trị. Windows 10 hoặc phiên bản mới hơn có thể được sử dụng làm hệ điều hành khách.
• Một bộ chuyển mạch ảo trên máy chủ Hyper-V.
• Ít nhất hai máy ảo để sao chép (duplicate) lưu lượng từ máy ảo nguồn sang máy ảo đích.

Danh sách kiểm tra phần cứng và phần mềm

Cần cài đặt công cụ phân tích lưu lượng (traffic sniffer) hoặc hệ thống phát hiện xâm nhập (IDS) trên máy ảo đích. Ví dụ về các công cụ này là Wireshark, Microsoft Network Monitor, Ettercapvà SmartSniff.

Các bước cấu hình

Chúng ta có hai máy ảo Windows trên một máy chủ Hyper-V:

• Wind0ws-VM – máy ảo nguồn ( 192.168.101.215 )
• Win-VM-Dest – máy ảo đích ( 192.168.101.212 )

Một máy chủ Hyper-V được cấu hình trên Windows Server 2019. Cách cấu hình cho các phiên bản Windows khác được hỗ trợ cũng tương tự.

Cấu hình bộ chuyển mạch ảo

Bạn có thể sử dụng một bộ chuyển mạch ảo hiện có hoặc tạo một bộ chuyển mạch ảo mới. Nếu không có bộ chuyển mạch ảo nào trên máy chủ Hyper-V, hãy tạo một bộ chuyển mạch mới bộ chuyển mạch ảo. Để tạo bộ chuyển mạch ảo, hãy thực hiện như sau:

1. Mở Trình quản lý Hyper-V, nhấp chuột phải vào máy chủ Hyper-V và chọn Virtual Switch Manager trong menu ngữ cảnh.

   

2. Chọn loại bộ chuyển mạch ảo và nhấp vào Create Virtual Switch. Trong trường hợp này, chúng ta sử dụng vSwitch0, một bộ chuyển mạch bên ngoài (mạng cầu nối). Nhấp vào OK để lưu cài đặt và đóng cửa sổ.

   

Cấu hình máy ảo nguồn

Khi bộ chuyển mạch ảo đã sẵn sàng, bạn có thể cấu hình máy ảo nguồn mà bạn muốn giám sát lưu lượng.

1. Để mở cài đặt máy ảo nguồn trong Hyper-V Manager, nhấp chuột phải vào tên máy ảo và chọn Settings trong menu ngữ cảnh.

   

2. Trong cửa sổ cài đặt máy ảo, điều hướng đến Network Adapter > Advanced features.
3. Trong phần Port Mirroring , chọn Source làm chế độ gương trong menu thả xuống. Thao tác này kích hoạt tính năng gương cổng Hyper-V cho cổng của bộ chuyển mạch ảo được kết nối mà cổng hiện tại của máy ảo đang kết nối. Nhấp vào OK để lưu cài đặt.

   

4. Hãy ghi nhớ tên bộ chuyển mạch ảo mà bộ điều hợp mạng ảo của máy ảo nguồn đang kết nối. Ưu điểm là bạn có thể cấu hình nhiều hơn một máy ảo nguồn để phân tích lưu lượng của tất cả các máy ảo trên máy ảo đích.

Bước tiếp theo là cấu hình máy ảo đích mà lưu lượng mạng sẽ được nhân bản (sao chép).

Cấu hình máy ảo đích

Thực hành được khuyến nghị là tạo thêm một bộ điều hợp mạng trên máy ảo đích và vô hiệu hóa tất cả các dịch vụ mạng cho bộ điều hợp mạng này để phân tích chính xác hơn. Cách tiếp cận này cho phép bạn thu thập bản sao lưu đầy đủ của lưu lượng mạng sau khi vô hiệu hóa các dịch vụ và giao thức mạng không cần thiết.

1. Tắt máy ảo đích nếu máy ảo đang chạy.
2. Để mở cài đặt máy ảo của máy ảo đích, nhấp chuột phải vào tên máy ảo trong Hyper-V Manager và chọn Settings.
3. Nhấp vào Add hardware trong khung bên trái của cửa sổ cài đặt máy ảo, chọn Network adapter, và nhấp vào Add.

   

4. Chọn bộ chuyển mạch ảo mà bộ điều hợp mạng ảo thứ hai sẽ được kết nối. Đây phải là cùng một bộ chuyển mạch ảo mà máy ảo đầu tiên (nguồn) đang kết nối. Trong trường hợp của chúng ta, đó là vSwitch0. Nhấn OK để lưu cài đặt và đóng cửa sổ.

   

5. Mở lại cài đặt của máy ảo đích.
6. Chọn bộ điều hợp mạng ảo thứ hai được tạo ra cho chức năng phản chiếu cổng và chẩn đoán lưu lượng (trong danh sách phần cứng máy ảo ở khung bên trái) và chuyển đến Network adapter > Advanced features.
7. Trong phần Port mirroring , chọn Destination làm chế độ sao chép để nhận lưu lượng mạng được sao chép. Nhấp vào OK.

   

8. Khởi động các máy ảo.
9. Kết nối với máy ảo đích đã được tạo để nhận và phân tích lưu lượng (sử dụng Hyper-V VMConnect hoặc RDP).

   

10. Mở Network and sharing center trong máy ảo Windows đích. Nhấp vào Change adapter settings.
11. Chọn bộ điều hợp mạng thứ hai được tạo để phân tích lưu lượng (bạn có thể đổi tên bộ điều hợp này thành LAN2-SPAN cho tiện lợi hơn).
12. Nhấp chuột phải vào bộ điều hợp mạng và chọn Properties.

    

Bây giờ, bạn có thể cài đặt và cấu hình phần mềm phân tích lưu lượng mạng, chẳng hạn như WireShark, trên máy ảo đích.

Cài đặt công cụ phân tích lưu lượng

1. Tải xuống và cài đặt Wireshark trên máy ảo đích. Quá trình cài đặt rất đơn giản trong trình hướng dẫn GUI – bạn có thể sử dụng các thiết lập mặc định.
2. Chạy Wireshark trên máy ảo đích.
3. Nhấp đúp vào bộ điều hợp mạng được tạo riêng cho việc sao chép cổng và phân tích lưu lượng mạng (LAN2-SPAN) trong cửa sổ Wireshark .

   

4. Bây giờ, bạn có thể xem hoạt động mạng của máy ảo nguồn (địa chỉ IP của máy ảo nguồn là 192.168.101.215). Hãy thực hiện lệnh ping đến google.com trên máy ảo nguồn.
5. Chúng ta có thể thấy các yêu cầu và phản hồi ICMP đến/từ 142.251.208.110, đây là địa chỉ IP của máy chủ google.com tại thời điểm này.

   

6. Để thuận tiện hơn, bạn có thể bật bộ lọc, ví dụ: chọn ICMP.

   

Đây là một ví dụ cơ bản. Bạn có thể theo dõi và phân tích các hoạt động mạng khác bằng cách sử dụng các giao thức khác.

PowerShell

Hệ điều hành Windows Server cũng cho phép bạn định cấu hình và quản lý tính năng phản chiếu cổng Hyper-V trong PowerShell.

Để bật tính năng phản chiếu cổng trên máy ảo nguồn và máy ảo đích, hãy chạy các lệnh tương ứng:

Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source

Set-VMNetworkAdapter -VMName Win-VM-Dest -PortMirroring Destination

Để tắt tính năng phản chiếu cổng cho một máy ảo: Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None

Để kiểm tra cài đặt phản chiếu cổng cho các máy ảo (VM):

(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode

(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode

Bạn có thể sử dụng các lệnh sau để hiển thị thông tin trợ giúp:

Get-Help Set-VMNetworkAdapter

Get-Help Set-VMNetworkAdapter -full

Get-Help Set-VMNetworkAdapter -detailed

Get-Help Set-VMNetworkAdapter -examples

Các lệnh sau đây có thể hữu ích để cấu hình phản chiếu cổng:

Add-VMNetworkAdapter – thêm một bộ điều hợp mạng ảo mới cho một máy ảo (VM)

Get-NetAdapter – hiển thị danh sách các bộ điều hợp mạng cho một máy ảo (VM)

Rename-Netadapter – thay đổi tên của bộ điều hợp mạng ảo cho một máy ảo (VM)

Kết luận

Việc cấu hình phản chiếu cổng Hyper-V có thể được thực hiện thuận tiện trong giao diện người dùng đồ họa của Hyper-V Manager hoặc trong PowerShell. Tuân thủ các yêu cầu và lưu ý các giới hạn, chẳng hạn như vị trí của các máy ảo nguồn và đích trên một máy chủ Hyper-V duy nhất. Bạn có thể cần cấu hình thêm các máy ảo đích với công cụ phân tích lưu lượng trên các máy chủ Hyper-V trong cụm dự phòng. Wireshark là một công cụ phân tích lưu lượng tiện lợi và phổ biến, nhưng bạn có thể sử dụng các công cụ khác nếu cần.

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. Dùng thử miễn phí trong 15 ngày. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí