문제 해결은 네트워크를 사용하는 시스템 관리자의 일반적인 작업입니다. 전문 네트워크 장비는 포트 ミラー링과 같은 모니터링과 문제 해결 기능을 갖추고 있습니다. 포트 ミラー링은 가상 환경에서 네트워크 트래픽 분석에 유용할 수 있으며, 이를 위해 마이크로소프트 하이퍼-V 호스트에 있는 가상 네트워크와 가상 머신 사이의 네트워크 통신을 분석할 수 있습니다. 이 블로그 포스트는 마이크로소프트 하이퍼-V 포트 미라이징을 구성하여 가상 환경에서 네트워크 통신을 분석하는 方法을 explains하는 것입니다.
포트 미라이징 주요 개념
포트 미라이징을 설명하기 전에, 어떻게 포트 미라이징을 구성하는지, 작동 원리, 现存的 Hyper-V 구성 기능을 탐구하며 이를 위해 주요 개념을 let’s explore합니다.
포트 미라이징이란?
포트 미라이징은 소스 호스트의 네트워크 포트의 네트워크 트래픽을 이를 의미하는 secondary host의 네트워크 포트(어댑터)로 이를 복사하여 이를 进め서 이를 분석할 수 있는 기능입니다. 호스트는 물리적 컴퓨터, 가상 컴퓨터, 네트워크 인터페이스를 갖춘 네트워크 장비 등이 있습니다. 소스 호스트는 이를 의미하는 네트워크 트랩 관련 내용에서 네트워크 트랩이 monitoring되는 호스트입니다. 소스 포트는 또한 mirrored port로 called하며, 목적 포트는 또한 observed port로 called합니다. 포트 미라이징은 또한 Switched Port Analyzer (SPAN)로 called합니다.
유형과 이를 위한 이점
포트 ミラー링은 포트 사이의 연결 모드에 따라 로컬과 원격으로 나뉩니다. 로컬 포트 미라이징 시, 소스와 목적지 네트워크 포트가 같은 스위치에 연결되어 있습니다. 원격 포트 미라이징은 소스와 목적지 포트가 다른 스위치에 연결되어 있을 때 사용합니다. 원격 포트 미라이징에서는 VLAN 태그 및 GRE Encapsulation을 사용하여 네트워크 교Flow를 모니터링 포트와 장치로 전달할 수 있습니다.
포트 미라이징의 이점은 작업 네트워크 장치의 처리를 영향 받지 않고 네트워크 통신을 분석하고 디버깅할 수 있음입니다. 관리자는 트래ffic를 분석하여 네트워크에서 攻击 할 수 있는 것을 식별하고, 攻撃 소스를 감지하고 네트워크 보안을 改善할 수 있습니다. 포트 미라이징을 사용할 때, 작업 기기의 게스트 운영 체제에서 네트워크 트래ffic를 직접 캡처하지 않습니다(예를 들어 생산 VM일 수 있습니다).
포트 미라이징은 ミラー링 트래ffic를 전달하기 위해 추가적인 네트워크 帯宽을 소모하므로, 네트워크 분석을 수행할 때 필요하면 이 기능을 사용하도록 启用할 수 있습니다.
포트 미라이징과 포트 转发
포트 미라이징은 TCP パケット이나 UDP 데이터 그램과 같은 네트워크 트래ffic가 미라이징에서 리다이렉트되지 않는다. 트래ffic가 ミラー링(複製)되지만 Original traffic의 소스와 목적지가 변경되지 않습니다. 원본 트래ffic의 コpy가 분석을 위한 목적지로 送信されます.
포트 포워딩에서는 트래픽(예: TCP 패킷 또는 UDP 데이터그램)의 대상을 변경할 수 있으며, 특정 패킷(또는 기타 프로토콜 데이터 단위)이 IP 네트워크에서 다른 IP 주소와 포트에 도달할 수 있습니다. 포트 포워딩은 네트워크 간 통신을 위해 NAT(네트워크 주소 변환)와 함께 사용됩니다. 원본 트래픽의 복사본은 생성되지 않습니다.
Hyper-V의 포트 미러링
가상 스위치를 통해 VM이 연결된 가상 네트워크의 트래픽을 분석하기 위해 Hyper-V의 포트 미러링 기능을 사용할 수 있습니다. 트래픽 분석을 위해 대상 VM을 정의하고 트래픽 캡처 소프트웨어(예: Wireshark)를 설치해야 합니다. 이를 위해 사용 가능한 다른 침입 탐지 시스템(IDS)을 사용할 수 있습니다.
Hyper-V 포트 미러링 기능은 하드웨어 포트 미러링과 유사하지만 Hyper-V 가상 스위치 수준에서 구현됩니다. 스위치 확장 기능 및 포트 ACL(액세스 목록)은 Hyper-V 가상 스위치에서 포워딩 및 트래픽 스니핑 규칙을 설정하는 데 사용됩니다.
포트 미러링은 단일 Hyper-V 호스트의 경계 내에서만 작동합니다. 가상 머신이 다른 Hyper-V 호스트에 있는 경우(예: 장애 조치 클러스터에서 VM을 한 호스트에서 다른 호스트로 마이그레이션한 후) Hyper-V 포트 미러링을 사용할 수 없습니다. 이 경우 소스 VM이 마이그레이션된 두 번째 Hyper-V 호스트에 네트워크 분석을 위한 추가 대상 VM을 구성해야 합니다.
포트 미러링 구성 준비
Hyper-V 포트 미러링 구성 요구 사항을 숙지해야 합니다.
전제 조건 및 설정 조건
Hyper-V 환경에서 포트 미러링을 구성하기 위한 사항은 다음과 같습니다.
- Windows Server 2012 R2(또는 更新的)이며, Hyper-V를 가지고 관리자 수준의 アクセス이 필요합니다. Windows 10 이상의 기기는 クライアント OS로 사용할 수 있습니다.
- Hyper-V 호스트에 가상 스위치가 있어야 합니다.
- 근원 VMから 대상 VM로 트래픽을 이중하기 위해 少なくとも 2 台の가상 머신이 필요합니다.
하드웨어 및 소프트웨어 验收表
대상 VM에 トラфиック 스ニ퍼(トラフィック 분석기)または 침입 감지 시스템을 설치하는 것이 필요합니다. 이러한 도구의 예로는 Wireshark, Microsoft Network Monitor, Ettercap, SmartSniff가 있습니다.
구성 手順
Hyper-V 호스트에 두 台의 Windows VM가 있습니다:
- Wind0ws-VM – 근원 VM (192.168.101.215)
- Win-VM-Dest – 대상 VM (192.168.101.212)
Windows Server 2019에 Hyper-V 호스트가 설정되어 있습니다. 다른 지원 가능한 Windows 버전의 구성은 같습니다.
가상 스위치 구성
现存的 가상 스위치를 사용하거나 새로운 가상 스위치를 만들 수 있습니다. Hyper-V 호스트에 가상 스위치가 없다면 새로운 가상 스위치를 만들어야 합니다. 가상 스위치를 만들기 위해서는 다음과 같이 실행합니다:
- 오픈 하이퍼-V 관리자 后,하이퍼-V 호스트 上 마우스 우클릭 하 고 가상 스위치 관리자 를 上下文 메뉴에서 클릭 하세요.
- 가상 스위치 유형을 선택 하 后排 가상 스위치 만들기 를 클릭 하세요. 이를 위해서는 외부 스위치 (桥接 네트워크)인 vSwitch0를 사용 하 墅 OK 를 클릭 하여 설정을 저장 하 고 창을 닫으세요.
원격 VM 구성
가상 스위치가 준비 되 면 모니터링하고자 하는 트래픽을 가진 원격 VM을 구성할 수 있습니다.
- 하이퍼-V 관리자로부터 원격 VM 설정을 열기 위해서는 VM 이름을 마우스 우클릭 하 고 설정 를 上下文 메뉴에서 클릭 하세요.
- VM 설정 창에서 네트워크 어댑터 > 进阶特性 에서 이동하세요.
- 포트 ミラー링 섹션에서 소스를 下拉 목록에서 選択합니다. 이 조치는 현재 VM의 연결된 仮想 스위치의 포트에 대한 Hyper-V 포트 미라이ring을 사용할 수 있게 합니다. OK 를 눌러 설정을 저장합니다.
- 소스 VM의 仮想 네트워크 어댑터가 연결된 仮想 스위치 이름을 기억하십시오. 이 장점은 대상 VM에 연결된 모든 VM의 트래픽을 분석하기 위해 한가지 以上的 소스 VM을 구성할 수 있다는 것입니다.
次の 阶段は、네트워크 트래픽이 미리어red(複製) 될 대상 仮想 머신을 구성합니다.
대상 VM의 구성
推奨 做法은 대상 VM에 额外的 네트워크 어댑터를 생성하고 이 네트워크 어댑터의 모든 네트워크 서비스를 사용하지 않습니다. 이러한 방법은 필요하지 않은 네트워크 서비스와 프로토콜을 사용하지 않고 네트워크 트래픽의 전체 ダ mp을 얻을 수 있습니다.
- 대상 VM이 실행 중이면 VM을 关机하십시오.
- Hyper-V 관리자에서 VM 이름을 우선 클릭하여 설정를 눌러 VM 설정을 열십시오.
- VM 설정 창의 왼쪽 paneled 하드웨어 추가를 클릭하여 네트워크 어댑터을 선택하고 추가를 눌러 하드웨어를 추가합니다.
- 두 번째 가상 네트워크 어댑터가 연결되어 있을 가상 스위치를 선택합니다. 첫 번째(소스) VM이 연결된 것과 동일한 가상 스위치입니다. 우리의 경우에는 vSwitch0입니다. 설정을 저장하고 창을 닫む 경우 OK를 눌러 주세요.
- 다시 목적 VM의 VM 설정을 엽니다.
- 端末 대응하는 가상 네트워크 어댑터를 추가하여 포트 ミラー링과 通信診断(VM 하드웨어 목록 왼쪽 paneled에서)에 대한 Advanced features를 선택합니다.
- 포트 ミラー링 섹션에서 대상 모드를 선택하여 ミラー링 된 네트워크 통신을 받기 위한 ミラー링 모드로 설정합니다. OK를 눌러 주세요.
- VM을 전원 cycle on합니다.
- 목적지 VM에 연결하여 트래픽 수신과 분석하기 위해 Hyper-V VMConnect 또는 RDP를 사용하세요.
- 목적지 Windows VM에서 네트워크 및 공유 센터을 열어주세요. 어댑터 설정 변경을 클릭하세요.
- 트래픽 분석을 위해 생성한 두 번째 네트워크 어댑터를 선택하십시오 (이 어댑터를 LAN2-SPAN로 이름을 변경하여 더 편리하게 사용할 수 있습니다).
- 네트워크 어댑터에 오른쪽 클릭하고 속성을 눌러주세요.
이제、목적지 VM에 네트워크 트래픽 분석 ソフト웨어,如 WireShark,를 설치하고 구성할 수 있습니다.
트래픽 분석기 설치
- Wireshark를 다운로드하고 목적지 VM에 설치하십시오. GUI 嚮導서를 사용하면 설치 과정이 간단하며 기본 세팅을 사용할 수 있습니다.
- 목적지 VM에서 Wireshark을 실행하십시오.
- Wireshark 윈도우에서 포트 미러링과 네트워크 traffice 분석을 위해 만들어진 네트워크 어댑터(LAN2-SPAN)를 두 번 클릭하세요.
- 现在, souce VM의 네트워크 활동( souce VM의 IP 주소는 192.168.101.215)을 볼 수 있습니다. souce VM에서 google.com을 ping 해봅시다.
- 이 时刻, google.com의 IP 주소인 142.251.208.110로부터/로 하는 ICMP 요청과 응답을 볼 수 있습니다.
- 더 편리하게, 필터를 활성화할 수 있습니다. 예를 들어, ICMP를 선택합니다.
이것은 기본적인 예시입니다. 다른 프로토콜을 사용하여 모니터링하고 분석할 수 있는 다른 네트워크 활동을 수행할 수 있습니다.
PowerShell
Windows Server 운영 시스템은 PowerShell에서 하이퍼-V 포트 미러링을 구성하고 관리할 수 있게 해줍니다.
소스 VM과 대상 VM에 포트 미러링을 사용하기 위해 해당 명령을 실행합니다:
Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring Source
Win-VM-Dest
VM의 포트 ミラー링을 사용하지 않기 위해서는:
Set-VMNetworkAdapter -VMName Wind0ws-VM -PortMirroring None
VM의 포트 미러링 설정을 확인하려면:
(Get-VMNetworkAdapter -VMName Wind0ws-VM).PortMirroringMode
(Get-VMNetworkAdapter -VMName Win-VM-Dest).PortMirroringMode
도움말 정보를 표시하는 명령어는 다음과 같습니다:
Get-Help Set-VMNetworkAdapter
Get-Help Set-VMNetworkAdapter -full
Get-Help Set-VMNetworkAdapter -detailed
Get-Help Set-VMNetworkAdapter -examples
포트 미러링을 구성하는 데 유용한 명령어는 다음과 같습니다:
Add-VMNetworkAdapter – VM에 새로운 가상 네트워크 어댑터 추가
Get-NetAdapter – VM의 네트워크 어댑터 목록 보기
Rename-Netadapter – VM의 가상 네트워크 어댑터 이름 변경
결론
Hyper-V 포트 미러링의 구성은 Hyper-V Manager의 그래픽 사용자 인터페이스나 PowerShell에서 convience하게 行ī열 수행할 수 있습니다. 요구 사항을 따르고 소스 및 대상 VM의 위치를 기억하십시오. 한 하이퍼-V 호스트에서 가상 머신의 위치가 single로 제한되어 있습니다. 해당하는 이슈를 분석하기 위해 하이퍼-V 클러스터 인스턴스에서 추가적인 대상 VM을 구성하는 방법을 고안해야 합니다. Wireshark은 트래픽 분석에서 유용하고 인기 있는 도구입니다만, 필요하다면 다른 도구를 사용할 수 있습니다.