SPAN-порт в Hyper-V - Процесс настройки - TS Solution

Процесс настройки SPAN-порта для среды виртуализации Hyper-V

Для выполнения Security CheckUP можно использовать как физический Appliance, так и виртуальную машину.

В случае с виртуальной машиной, как правило, используется гипервизор VMware ESXi. Однако, иногда применяется Hyper-V и весьма часто возникают проблемы с настройкой SPAN-порта, т.е. когда трафик зеркалируется с коммутатора на физический порт сервера (где в качестве гипервизора — Hyper-V) и должен попадать в виртуальную машину с установленным Check Point.

Данный документ описывает процесс настройки SPAN-порта для среды виртуализации Hyper-V. По-умолчанию в среде Hyper-V возможно настроить зеркалирование трафика между виртуальными машинами, которые находятся на одном и том же сервере. При этом нет возможности настроить зеркалирование трафика на виртуальный интерфейс от реального внешнего интерфейса сервера (External).

Процесс настройки состоит из 5 шагов:

1. Создание виртуального свича (virtual switch).
2. Прикрепление ClearPass SPAN интерфейса к виртуальному свичу.
3. Включение функции Microsoft NIDS в виртуальном свиче.
4. Включение режима mirroring на внешнем интерфейсе (external port).
5. Включение SPAN порта на сетевом оборудовании.

Важно! Не включайте SPAN порт для менджмент интерфейса! Также убедитесь что на SPAN порту нет IP — адреса.

1. Создание виртуального свича


1) Откройте Virtual Swtich Manager;

2) Выберите новый виртуальный свич (new virtual network switch) и тип — External, затем Create Virtual Switch:

3) Для только что созданного виртуального свича задайте имя (в нашем случае это vSwitch_Span), в поле Connection Type выберите External Network и добавьте опцию Allow management operating system to share this network adapter option. Также укажите физический порт сервера, куда непосредственно будет зеркалироваться трафик с сетевого оборудования.

2. Прикрепление ClearPass SPAN интерфейса к виртуальному свичу


На этом этапе к виртуальной машине необходимо прикрепить созданный ранее виртуальный коммутатор. Данное действие можно выполнить как с помощью PowerShell, так и с помощью Hyper-V Manager.

С помощью PowerShell:

1) Добавьте новый сетевой адаптер
ADD-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span

2) Включите mirroring для выбранного интерфейса и укажите параметр Destination

Get-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination

Где:

VK-CP-VA-500-LongRunning-650 — имя виртуальной машины куда будет зеркалироваться трафик
vSwitch_Span — созданный свич с SPAN-портом
Monitor — имя нового адаптера

С помощью Hyper-V Manager:

1) Добавьте в виртуальную машину новый адаптер и выберите vSwitch_Span в качестве виртуального свича.

2) Зайдите в расширенные настройки адаптера — Advanced Features.

3) В секции Port Mirroring настройте Mirroring mode указав в поле — Destination.

3. Включение функции Microsoft NIDS в виртуальном свиче

Для захвата пакетов необходимо включить Microsoft NIDS. Для этого:

1) Открыть Virtual Switch Manager.

2) Для созданного ранее коммутатора vSwitch_Span зайдите в Extensions.

3) Включите Microsoft NIDS.

4. Включение режима mirroring на внешнем интерфейсе (external port)

Финальной частью настройки Hyper-V является настройка зеркалирования трафика с физического порта на порт виртуальной машины. Делается это с помощью команды в PowerShell (запускать от администратора).

$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings»
$ExtPortFeature.SettingData.MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature

С помощью следующей команды можно проверить статус настройки:

Get-VMSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings» -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData

5. Включение SPAN порта на сетевом оборудовании


Данный этап зависит исключительно от сетевого оборудования. В качестве примера ниже представлены команды для настройки коммутаторов Cisco.

Задаем источник:
monitor session 1 source interface gigabitEthernet 1/0/1 both

Задаем порт назначения (сюда подключается SPAN порт сервера):
monitor session 1 destination interface gigabitEthernet 1/0/11