Portspeiling er en funksjon som dupliserer nettverkstrafikk fra en kildeverts port til en sekundærvert for analyse. Den kan brukes til overvåking, feilsøking og analyse av nettverkskommunikasjon og -sammenkobling. I dette innlegget skal vi lære hvordankonfigurer Hyper-V Port Mirroring,som er en Windows-native hypervisor.
Konfigurer Hyper-V Port Mirroring på Windows-datamaskiner
Port Mirroring lar deg duplisere nettverkstrafikken fra verten, som vil være kilden til en sekundær vert, som vil være målet. Kildeverten overvåkes, med porten referert til somSpeilport, mens destinasjonsporten kallesObservert havn. Denne teknikken er også kjent somSwitched Port Analyzer (SPAN).
I Hyper-V kan vi brukePortspeilingå analysere trafikk i nettverket av maskiner via virtuelle svitsjer, som i hovedsak brukes av Hyper-V VM-er for å kommunisere med det eksterne nettverket eller internt med andre maskiner. For å gjøre dette, må du definere en destinasjons-VM og installere trafikkfangende programvare som Wireshark eller bruke andre inntrengningsdeteksjonssystemer (IDS).
Portspeiling i Hyper-V fungerer på samme måte som maskinvareportspeiling, men fungerer pånivå, ved å bruke svitsjutvidelser og porttilgangskontrolllister (ACL) for å angi regler for trafikkvideresending og sniffing. Når det gjelder Hyper-V, fungerer imidlertid portvideresending bare innenfor en enkelt vert. Hvis maskinene er på forskjellige verter, la oss si i tilfelle av eneller etter migrering vil funksjonen ikke fungere.
For å konfigurere Hyper-V Port Mirroring, må du følge trinnene nevnt nedenfor.
- Lag en virtuell bryter
- Konfigurer den virtuelle kildemaskinen
- Konfigurer den virtuelle målmaskinen
La oss snakke om dem i detalj.
1] Opprett en virtuell bryter
Først må vi konfigurere den virtuelle bryteren som skal kommunisere med dine virtuelle maskiner. For å gjøre det, følg trinnene nevnt nedenfor.
- ÅpneHyper-V Manager,høyreklikk på vertsmaskinen og velgVirtual Switch Manager.
- Nå, klikk påLag Virtual Switch.
- Gi bryteren et navn, så går vi med'Switch_1', velgUtvendig,og klikk påBruk > Ok.
På denne måten vil vi lage en virtuell svitsj som skal brukes i denne opplæringen, hvis du allerede har en svitsj konfigurert, trenger du ikke lage en ny.
Vi må gjøre noen ekstra konfigurasjoner til bryteren. For å gjøre det, følg trinnene nevnt nedenfor.
- ÅpneKontrollpanel.
- Gå tilNettverk og Internett > Nettverks- og delingssenter.
- Klikk påEndre adapterinnstillinger.
- Høyreklikk på den virtuelle bryteren og velgEgenskaper.
- Gå tilDelingtabulator og fjern merketTillat andre nettverksbrukere å koble til via datamaskinens internettforbindelse.
- Velg en nettverksenhet fra rullegardinmenyen og klikk på OK.
Denne konfigurasjonen var nødvendig for å konfigurere portspeiling.
2] Konfigurer den virtuelle kildemaskinen
Nå som vi har opprettet den virtuelle svitsjen, la oss konfigurere kildemaskinen slik at vi kan overvåke trafikken. For å gjøre det, følg trinnene nevnt nedenfor.
- I Hyper-V Manager høyreklikker du på kildemaskinen og velgerInnstillinger.
- Nå må du klikke videreNettverksadapter,klikk på plussikonet og deretter påAvanserte funksjoner.
- Gå deretter tilPortspeilingseksjon, og velgKildeiSpeilmodusrullegardinmenyen.
- Klikk på Ok.
Hvis du vil, kan du konfigurere virtuelle maskiner med flere kilder, det eneste du må huske på er at du må bruke en enkelt virtuell svitsj og opprettholde enhetlighet. Når det er gjort, fortsetter vi med konfigurasjonen av destinasjonsmaskinen.
3] Konfigurer den virtuelle destinasjonsmaskinen
Etter å ha konfigurert kilde-VM, vil vi konfigurere destinasjonen. For å analysere nettverkstrafikk mer nøyaktig, opprette en ekstra nettverksadapter på destinasjons-VM og deaktiver alle nettverkstjenester for denne adapteren. På denne måten kan du fange opp en fullstendig dump av nettverkstrafikken etter å ha slått av unødvendige tjenester og protokoller. Følg trinnene nevnt nedenfor for å gjøre det samme.
- Slå av den virtuelle maskinen hvis den kjører.
- Nå, høyreklikk på maskinen og velgInnstillinger.
- Gå tilLegg til maskinvare,velgeNettverksadapter,og klikk deretter påLegge tilknapp.
- Nå må du velge den virtuelle bryteren som vi opprettet tidligere og konfigurere den for kildemaskinen. Siden vi opprettet,Switch_1,vi valgte det bare i rullegardinmenyen og klikket påBruk > Ok.
- Åpne nå VM-ens innstillinger på nytt med samme metode som du brukte tidligere.
- Gå tilNettverksadapterfanen, klikk på pluss-ikonet (+), og klikk deretter påAvanserte funksjoner.
- Nå, naviger tilPortspeilingseksjon, og velgDestinasjoni rullegardinmenyen tilSpeilmodusfor å få speilet nettverkstrafikk.
- Klikk påBruk > Ok.
Nå kan du bruke verktøy som f.ekswireshark.orgfor å analysere nettverkstrafikken til kildemaskinen på destinasjons-VM.
Lese:
Hvordan setter jeg opp portspeiling?
Hvis du vil konfigurere portspeiling i Hyper-V, trenger du først en virtuell svitsj som støtter NAT. Når det er gjort, kan du gjøre en eller flere virtuelle maskiner til kilden, den hvis trafikk vi skal overvåke, og den andre VM som destinasjon, der vi skal overvåke trafikken.
Lese:
På hvilken enhet er portspeiling konfigurert?
Portspeiling er konfigurert på nettverksenhetene dine, for eksempel brytere og rutere. Den kan duplisere trafikk fra én kildes port til den for destinasjonen for overvåkings- og analyseformål.
Les også:.