Остались вопросы?
С удовольствием ответим на них в ближайшее время!
Настройки cookie
Настройка SPAN-порта
в Hyper-V
31 ЯНВАРЯ 2017
Процесс настройки SPAN-порта для среды виртуализации Hyper-V
Для выполнения Security CheckUP можно использовать как физический Appliance, так и виртуальную машину.
В случае с виртуальной машиной, как правило, используется гипервизор VMware ESXi. Однако, иногда применяется Hyper-V и весьма часто возникают проблемы с настройкой SPAN-порта, т.е. когда трафик зеркалируется с коммутатора на физический порт сервера (где в качестве гипервизора — Hyper-V) и должен попадать в виртуальную машину с установленным Check Point.
Данный документ описывает процесс настройки SPAN-порта для среды виртуализации Hyper-V. По-умолчанию в среде Hyper-V возможно настроить зеркалирование трафика между виртуальными машинами, которые находятся на одном и том же сервере. При этом нет возможности настроить зеркалирование трафика на виртуальный интерфейс от реального внешнего интерфейса сервера (External).
Данный документ описывает процесс настройки SPAN-порта для среды виртуализации Hyper-V. По-умолчанию в среде Hyper-V возможно настроить зеркалирование трафика между виртуальными машинами, которые находятся на одном и том же сервере. При этом нет возможности настроить зеркалирование трафика на виртуальный интерфейс от реального внешнего интерфейса сервера (External).
Процесс настройки состоит из 5 шагов:
Важно! Не включайте SPAN порт для менджмент интерфейса! Также убедитесь что на SPAN порту нет IP — адреса
- Создание виртуального свича
(virtual switch) - Прикрепление ClearPass SPAN интерфейса к виртуальному свичу
- Включение функции Microsoft NIDS
в виртуальном свиче. - Включение режима mirroring на внешнем интерфейсе (external port)
- Включение SPAN порта на сетевом оборудовании
1. Создание виртуального свича
2. Прикрепление ClearPass SPAN интерфейса к виртуальному свичу
На этом этапе к виртуальной машине необходимо прикрепить созданный ранее виртуальный коммутатор. Данное действие можно выполнить как с помощью PowerShell, так и с помощью Hyper-V Manager.
С помощью PowerShell:
1) Добавьте новый сетевой адаптер
ADD-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
2) Включите mirroring для выбранного интерфейса и укажите параметр Destination
Get-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Где:
VK-CP-VA-500-LongRunning-650 — имя виртуальной машины куда будет зеркалироваться трафик
vSwitch_Span — созданный свич с SPAN-портом
Monitor — имя нового адаптера
С помощью PowerShell:
1) Добавьте новый сетевой адаптер
ADD-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 -Name Monitor -SwitchName vSwitch_Span
2) Включите mirroring для выбранного интерфейса и укажите параметр Destination
Get-VMNetworkAdapter -VMName VK-CP-VA-500-LongRunning-650 | ? Name -eq Monitor | Set-VMNetworkAdapter -PortMirroring Destination
Где:
VK-CP-VA-500-LongRunning-650 — имя виртуальной машины куда будет зеркалироваться трафик
vSwitch_Span — созданный свич с SPAN-портом
Monitor — имя нового адаптера
3. Включение функции Microsoft NIDS в виртуальном свиче
Для захвата пакетов необходимо включить Microsoft NIDS. Для этого:
1) Открыть Virtual Switch Manager.
2) Для созданного ранее коммутатора vSwitch_Span зайдите в Extensions.
3) Включите Microsoft NIDS.
1) Открыть Virtual Switch Manager.
2) Для созданного ранее коммутатора vSwitch_Span зайдите в Extensions.
3) Включите Microsoft NIDS.
4. Включение режима mirroring на внешнем
интерфейсе (external port)
интерфейсе (external port)
Финальной частью настройки Hyper-V является настройка зеркалирования трафика с физического порта на порт виртуальной машины. Делается это с помощью команды в PowerShell (запускать от администратора).
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings»
$ExtPortFeature.SettingData. MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
С помощью следующей команды можно проверить статус настройки:
Get-VMSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings» -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
$ExtPortFeature=Get-VMSystemSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings»
$ExtPortFeature.SettingData. MonitorMode=2
Add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName vSwitch_Span -VMSwitchExtensionFeature $ExtPortFeature
С помощью следующей команды можно проверить статус настройки:
Get-VMSwitchExtensionPortFeature -FeatureName «Ethernet Switch Port Security Settings» -SwitchName vSwitch_Span -ExternalPort | select -ExpandProperty SettingData
5. Включение SPAN порта на сетевом оборудовании
Данный этап зависит исключительно от сетевого оборудования. В качестве примера ниже представлены команды для настройки коммутаторов Cisco.
Задаем источник:
monitor session 1 source interface gigabitEthernet 1/0/1 both
Задаем порт назначения (сюда подключается SPAN порт сервера):
monitor session 1 destination interface gigabitEthernet 1/0/11
Задаем источник:
monitor session 1 source interface gigabitEthernet 1/0/1 both
Задаем порт назначения (сюда подключается SPAN порт сервера):
monitor session 1 destination interface gigabitEthernet 1/0/11