alphaspirit - Fotolia
Mit Hyper-V-Portspiegelung Netzwerkstaus vorbeugen
Machen Sie sich Sorgen um die Performance in Ihrem mehrschichtigen virtuellen Netzwerk? Port-Mirroring in Hyper-V vereinfacht das Traffic-Monitoring.
Richtig konfiguriert, können virtuelle Maschinen (VMs), die in einer virtualisierten Umgebung laufen, untereinander und mit den Servern kommunizieren, die mit externen Netzwerken verbunden sind. In einer mehrschichtigen virtuellen Netzwerkarchitektur ist es von entscheidender Wichtigkeit, dass Sie darauf achten, was für Ihre virtualisierten Arbeitsabläufe über das Netzwerk gesendet und empfangen wird. Damit soll sichergestellt werden, dass die Netzwerk-Performance gut ist, Ihre virtuelle Netzwerkinfrastruktur den IT-Sicherheitsstandards entspricht und das Netzwerk stabil genug ist für netzwerkintensive Anwendungen wie Exchange, SQL- oder Oracle-Datenbanken.
Das Hyper-V-Port-Mirroring (auch als Portspiegelung bezeichnet) ist als Bestandteil des erweiterbaren Switch für Hyper-V verfügbar und eine der in Hyper-V unter Windows Server 2012 neu hinzugekommenen Funktionen. Das Port-Mirroring von Hyper-V hilft dabei, den eingehenden und ausgehenden Netzwerk-Traffic von und zu einer VM unter Windows Server 2012 und neueren Hyper-V-Hosts zu erfassen. Anschließend leitet die Portspiegelung Kopien des Netzwerk-Traffics an eine andere VM weiter, die für das Monitoring konfiguriert ist.
Obwohl der Zweck von Port-Mirroring in erster Linie darin besteht, den Netzwerk-Traffic für eine VM zu erfassen, lässt es sich auch auf vielerlei andere Arten verwenden. Zum Beispiel können Organisationen die Funktion ebenfalls einsetzen, um in Erfahrung zu bringen, welche Pakete eine VM verschickt, und dann diese Pakete zu Sicherheitszwecken zu analysieren. Port-Mirroring kann auch unnötigen von VMs ausgehenden Netzwerk-Traffic blockieren, den Kommunikations-Traffic zwischen zwei VMs überprüfen und Netzwerkprobleme diagnostizieren.
VMs für das Port-Mirroring von Hyper-V konfigurieren
Um die Portspiegelung von Hyper-V zu nutzen, brauchen Sie mindestens zwei VMs: eine, die als Quelle konfiguriert ist, und eine weitere, die als Ziel konfiguriert ist. Die Quell-VM ist die virtuelle Maschine, deren Netzwerk-Traffic erfasst werden muss. Die Ziel-VM empfängt den Netzwerk-Traffic von der Quell-VM. Beide VMs müssen auf einem lokalen Hyper-V-Host unter Windows Server 2012 oder späteren Betriebssystemversionen laufen. Das Port-Mirroring von Hyper-V wird nicht für VMs unterstützt, die auf einem Remote-Hyper-V-Host ausgeführt werden.
Sie können entweder den Hyper-V-Manager oder PowerShell-Cmdlets nutzen, um Quell- und Ziel-VMs zu konfigurieren. Um die Portspiegelung unter Verwendung des Hyper-V-Managers aufzusetzen, rufen Sie die Eigenschaftenoptionen der Quell-VM auf, navigieren zum Abschnitt Netzwerkadapter und klappen ihn auf, so dass die erweiterten Funktionen angezeigt werden. Dann wählen Sie im rechten Bereich des Abschnitts Portspiegelung als Spiegelungsmodus den Eintrag Quelle, wie in Abbildung 1 dargestellt:
Um die Einstellungen zu speichern, klicken Sie auf OK und Übernehmen. Nachdem Sie dies erledigt haben, wählen Sie eine Ziel-VM aus, die den eingehenden und ausgehenden Netzwerk-Traffic von der Quell-VM empfangen soll. Führen Sie die gleichen Schritte wie oben durch, um die Ziel-VM zu konfigurieren, wählen dieses Mal als Spiegelungsmodus aber Ziel.
Wenn Sie die PowerShell nutzen wollen, um das Port-Mirroring für die Quell- und Ziel-VMs zu aktivieren, verwenden Sie die folgenden Befehle:
Set-VMNetworkAdapter "Source-VM" –PortMirroring Source
Set-VMNetworkAdapter "Destination-VM" –PortMirroring Destination
Falls VMs mit mehreren virtuellen Netzwerkadaptern (Virtual Network Interface Cards, vNIC) verbunden sein sollten, nutzen Sie diese PowerShell-Befehle, um die Portspiegelung für die richtige vNIC einzurichten:
Get-VMNetworkAdatper VM1 | ? MacAddress –eq "<hier die MAC-Adresse eintragen>" | Set-VMNetworkAdapter VM1 –PortMirroring Destination
Falls Sie das Port-Mirroring für VMs ausschalten wollen, verwenden Sie None anstatt Source und Destination, wie anhand der folgenden Befehle ersichtlich ist:
Set-VMNetworkAdapter "Source-VM" –PortMirroring None
Set-VMNetworkAdapter "Destination-VM" –PortMirroring None
Einsatzszenarien für Port-Mirroring
Es gibt eine Reihe von Szenarien, in denen Port-Mirroring hilfreich sein kann. Sie können zum Beispiel das Port-Mirroring von Hyper-V nutzen, um den Netzwerk-Traffic von einer VM, die mit einem virtuellen Switch verbunden ist, zu erfassen. Dies wird als Erfassen von internem Netzwerk-Traffic bezeichnet. In diesem Szenario agiert eine VM, deren Netzwerk-Traffic aufgezeichnet werden muss, als Quelle. Und die VM, die den Traffic erfasst und anzeigt, nennt man Ziel.
Wenn Sie externen Netzwerk-Traffic berücksichtigen müssen, beispielsweise eingehenden Netzwerk-Traffic, den ein physischer Server an eine VM sendet, können Sie das Hyper-V-Port-Mirroring auf virtueller Switch-Ebene aktivieren. Anschließend konfigurieren Sie eine VM für die Überwachung des Traffics, der von einem virtuellen Switch empfangen wird.
Es kann mehrere Quellen und Ziele geben. Zum Beispiel können Sie drei Ziel-VMs verwenden, um den Traffic von einer einzelnen VM, die als Quelle dient, zu überwachen. Doch dieses Szenario ist nicht gerade praktisch, es sei denn, Sie wollen, dass Traffic für eine VM von drei Einzelpersonen oder Teams überwacht wird.
Als VLAN getaggten Traffic erfassen
Sollten Sie in die Situation kommen, dass VLAN-Tagging für VMs konfiguriert ist, und Sie wollen den getaggten Traffic für eine oder zwei VMs auf einer dritten VM überwachen, dann müssen Sie die Ziel-VM – also die VM, die den Netzwerk-Traffic später erfasst – im Trunk-Modus konfigurieren. Nehmen wir etwa einmal an, Sie haben vor, den Netzwerk-Traffic zwischen IIS und SQL mit Paketen zu erfassen, die mit der VLAN-ID 102 getaggt sind. Danach wollen Sie Traffic-Kopien an eine dritte VM senden, die als Ziel konfiguriert ist.
Führen Sie zu diesem Zweck die unten aufgeführten Befehle auf einem Hyper-V-Host aus, um sowohl die IIS- als auch die SQL-VM im Zugriffsmodus zu konfigurieren und diese beiden VMs als Quelle festzulegen.
Set-VMNetworkAdapterVLan IIS –Access –VlanID 102
Set-VMNetworkAdapter –IIS –PortMirroring Source
Set-VMNetworkAdapterVLan SQL –Access –VlanID 102
Set-VMNetworkAdapter –SQL –PortMirroring Source
Nun richten Sie die Ziel-VM im Trunk-Modus ein und legen sie als Ziel fest, so dass die IIS- und die SQL-VM den Netzwerk-Traffic an sie weiterleiten:
Set-VMNetworkAdapterVLan MonitorVM –Trunk –AllowedVLANIDList "102" –NativeVLandID 0
Set-VMNetworkAdapter MonitorVM –PortMirroring Destination
Obwohl das Port-Mirroring dabei hilft, den Netzwerk-Traffic in einer virtualisierten Umgebung zu erfassen, nutzen viele Organisationen die Portspiegelung auch für die Performance-Optimierung, die Analyse von Sicherheitsrisiken und für die Diagnose von Netzwerkproblemen. Damit Sie den Netzwerk-Traffic am Ziel auch sehen, müssen Sie ein Tool zum Aufzeichnen des Datenverkehrs einsetzen – beispielsweise den Microsoft Network Monitor oder WireShark.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!