none
Зеркалирование трафика с физического интерфейса на виртуальный коммутатор RRS feed

  • Вопрос

  • Добрый день!

    Есть сервер с 2-мя физическими интерфейсами на который установлен Windows Server 2012 Hyper-V 2012. Один из которых включен в порт физического коммутатора (Cisco), на этот порт сливается трафик с остальных портов Cisco. При проверке WireShark'ом физического порта хостовой ОСи трафик видно (идут RTP пакеты, которые и нужны для слива), хотя на самом интерфейсе он не отображается. Создаю виртуальный коммутатор цепляю его на одну ВМ, после загрузки ОСи трафик видно, но он скорее всего отфильтрован, RTP пакеты вообще не доходят. Вопрос, что происходит между хостовой сетевой картой и виртуальным коммутатором, чем фильтруется трафик?

    Поиски в Гугле привели к тому что: "если весь трафик с физического коммутатора на интерфейс хоста (который для других целей не используется), то создав виртуальный свич, который презентован лишь одной ВМ, установив Network Monitor в этой ВМ, вы будете видеть весь трафик." - так и было реализовано, но не работает, нету там всего трафика.


    • Изменено Bazyl 23 мая 2013 г. 11:57

Ответы

Все ответы

  • глянь здесь, не совсем то, но там описание работы сетей в HV... сам рразбираюсь https://www.simple-talk.com/sysadmin/virtualization/microsoft-hyper-v-networking-and-configuration---part-1/ чуть с другим вопросом в соседней теме.

    • Изменено lepesh14 22 мая 2013 г. 17:43
  • ~

    ~

    Есть сервер с 2-мя физическими интерфейсами на который устаовлен Hyper-V 2012. Один из которых включен в порт физического коммутатора (Cisco), на этот порт сливается трафик с остальных портов Cisco. При проверке WireShark'ом физического порта хостовой ОСи трафик видно (идут RTP пакеты, которые и нужны для слива), хотя на самом интерфейсе он не отображается. Создаю виртуальный коммутатор цепляю его на одну ВМ, после загрузки ОСи трафик видно, но он скорее всего отфильтрован, RTP пакеты вообще не доходят. Вопрос, что происходит между хостовой сетевой картой и виртуальным коммутатором, чем фильтруется трафик?

    Поиски в Гугле привели к тому что: "если весь трафик с физического коммутатора на интерфейс хоста (который для других целей не используется), то создав виртуальный свич, который презентован лишь одной ВМ, установив Network Monitor в этой ВМ, вы будете видеть весь трафик." - так и было реализовано, но не работает, нету там всего трафика.

    ~

     Это смотрели?

    http://social.technet.microsoft.com/Forums/ru-RU/virtualizationru/thread/767046f9-0f6b-4492-a7d2-7de6c7e92b0e

    ==

    ~

    ~

     major issue for 2012. The virtual switch is still stuck in switch mode.  . . . why the 'virtual filtering' the the vm-switch is doing cannot simply be disabled.  . . . it would to implement 'hub mode' functionally.  . . . from 2008 that this was not done in 2012 :( The only solution I can find is vmware.....

    ~

    Are You shue?

    ~

    R(ead)TF(irst)M

    http://blogs.virtualizationadmin.com/lowe/2012/01/31/explore-new-hyper-v-3-networking-features/

    ==

    Monitor Port

    Enhance troubleshooting by monitoring the network traffic than enters and exits a virtual machine.

    ==

     Or

    http://www.virtualizationadmin.com/articles-tutorials/microsoft-hyper-v-articles/general/welcome-hyper-v-3-0-part2.html

    ==

    Monitor Port. Enhance troubleshooting by monitoring the network traffic than enters and exits a virtual machine.

    {

    Monitor Port. Enhance troubleshooting by monitoring the network traffic than enters and exits a virtual machine.

    }

    Figure 14: Manage network adapter advanced features

    ==

    ==

    ~

     еще стоит попробовать:

    Cisco Nexus 1000v on Hyper-V

    ==

    ----- Original Message -----
    From: "Louis Watta (lwatta)" <  ZZZZZZZZZZZZZZZZZZZZZZ @cisco.com>
    To: "beta-n1kv-hyperv(mailer list)
    Sent: Wednesday, May 22, 2013 5:31 PM
    Subject: Cisco Nexus 1000v on Hyper-V Beta survey
    Everyone,

    Thanks for you participation. We have a few weeks of beta testing left.
    As we are nearing the end of the beta we would really like to get your feedback on the features and functionality.
     . . .
    If you have any questions or issues relating to the product feel free to post a question on the forum at
    https://communities.cisco.com/community/technology/datacenter/nexus1000v/hyper_v_beta

    Or you can reply directly to this email message if you are uncomfortable posting your question on the forum.

    Thank you all for you participation in the beta!!!

    Cisco Beta Team

    ==

    ~

    ~

    ~

    На практике: меня лично вопрос sniffing-га в среде Hyper-V весьма интересует.

    причем не только для Snort ( And Co), но и для Total Traffic Control ( давняя мечта заставить работать в VM)

      To ALL again:

    >на этот порт сливается трафик с остальных портов Cisco.

     Траффик, там скажем сразу, -- не маленкий, загонять его в Virt.Comp-r -- не очень практично

    Но иметь такую возможность -- хотелось бы . . .




  • Перечитал много статтей, но ничего нового не узнал...

    • Изменено Bazyl 24 мая 2013 г. 10:35
  • To Bazyl напиши на

    vvm (at) tut (dot) by

    анононимность и нераспространие -- гарантирую, с меня "много пользы" см. Google , "не кусаюсь"

     To ALL: welcom, пишите по теме и вообще . . .

    Давайте не будем призывать писать лично. Это общедоступный форум, и все участники сообщества (в том числе, будущие) выигрывают от публичного обсуждения. Если вы хотите написать что-то полезное, заведите блог или пишите в Wiki.

    В будущем настойчивые призывы связаться лично будем удалять. Спасибо за понимание.

    Модератор
  • Модератор
  • Куда не обращался, везде меня послали на этот форум к экспертам.

    А здесь глухо. Никто не может ответить есть ли "фильтр" у виртуального коммутатора.

    Один ответ о "Cisco nexus1000v" и тот платный для корпоративных решений...

  • Netsh Trace пробовали?
  • Netsh Trace пробовали?

    проверил:

     - на физическом интерфейсе сервера трафик захвачен, нужные пакеты присутствуют

     - на интерфейсе ВМ - ничего...Трафик есть, но уже не тот объем, который на физическом интерфейсе сервера. Что то есть на виртуальном коммутаторе, что-то режет...

    Какие еще будут идеи?

    Может еще куда обратится?

  • netsh trace start capture=yes capruretype=physical

    netsh trace start capture=yes capruretype=vmswitch

    netsh trace start capture=yes capruretype=both

    Так было дело?

  • netsh trace start capture=yes capruretype=physical

    netsh trace start capture=yes capruretype=vmswitch

    netsh trace start capture=yes capruretype=both

    Так было дело?

    Размер захваченого трафика за 30 сек(примерно):

    netsh trace start capture=yes capruretype=physical -  246 МБ

    netsh trace start capture=yes capruretype=vmswitch - 8 МБ

    netsh trace start capture=yes capruretype=both -  256 МБ

  • А файл nettrace.etl через Network Monitor смотрели?

  • А файл nettrace.etl через Network Monitor смотрели?

    Конечно. PRT пакетов нет в дампе с vmswitch.

    И вообще там нету информационных пакетов, только бродкастные, DHCPv6  и т.п.

  • Куда не обращался, везде меня послали на этот форум к экспертам.

    А здесь глухо. Никто не может ответить есть ли "фильтр" у виртуального коммутатора.

    Один ответ о "Cisco nexus1000v" и тот платный для корпоративных решений...

    ~

     Вот, вот прекратят раздавать Beta-версию . . .

    ~


  • :

    Все, идеи закончились?

  • А в конфигурации виртуальной машины, а именно в свойствах сетевого интерфейса, в опции Port Mirroring поставить Destination (Source) пытались? Network Monitor (WireShark) молчит?

    1 июня 2013 г. 17:03
  • А в конфигурации виртуальной машины, а именно в свойствах сетевого интерфейса, в опции Port Mirroring поставить Destination (Source) пытались? Network Monitor (WireShark) молчит?

    Да, ставил, пытался ничего не изменилось...Но исходя из описания этой опции, она работает только для виртуальных машин вкл на одном виртуальному коммутаторе...
    Network Monitor (WireShark) молчит

    У кого еще узнать о деталях работы виртуального свича, пните меня в какую сторону идти то?Или возможно привлечь кого то кто знает?

    • Изменено Bazyl 17 июня 2013 г. 18:49
    17 июня 2013 г. 9:14
  • to Bazyl

    Поправьте меня, если я ошибаюсь, нужно это вытащить?  

    17 июня 2013 г. 18:57
  • to Bazyl

    Поправьте меня, если я ошибаюсь, нужно это вытащить?  

    да, именно так.

    to Solenoid

    Есть какие то идеи?


    • Изменено Bazyl 19 июня 2013 г. 13:42 исправление
    17 июня 2013 г. 19:49
  • Возможно ли вообще реализовать полноценную процедуру, описанную в первом посте, с трафиком на virtual switch в сервере Windows Server 2012 Hyper-V 2012, да нет?

    Если да - то как, если нет - тему закрываем.

    21 июня 2013 г. 7:38
  • Великие умы дайте , пжл, ответ.

    27 июня 2013 г. 13:52
  • ~

     Здесь

    ~

    Hyper-V NIC in promiscuous mode

    ~

    задают похожий вопрос . . .

    ~

     Кроме этих

    ==

    Possible A:

     IMHO, try Cisco Nexus 1000v on Hyper-V -- is good idea  ( but at this moment I personal not try do it  i.e. may be work, may be not )

     Or

    place on VM "server box" , but place "sensor box" on physical comp

    ==

    есть еще методы?

    29 января 2014 г. 12:33
  • Посмотрите мою новую заметку: http://blogs.technet.com/b/vm/archive/2014/03/13/port-mirroring-from-external-network.aspx

    Думаю, это оно. Работать будет и на 2012 (с апдейтом), и на 2012R2

    • Предложено в качестве ответа EugeneLeitanMVP 13 марта 2014 г. 6:34
    • Помечено в качестве ответа Denis DyagilevEditor 17 марта 2014 г. 14:51
    13 марта 2014 г. 6:02
  • ~~

    Посмотрите мою новую заметку:

    http://blogs.technet.com/b/vm/archive/2014/03/13/port-mirroring-from-external-network.aspx

    ==

    Задача редкая и никак не документированная. Недавно было найдено решение этой проблемы.

    Предлагаемый ниже метод работает на узлах с Windows Server 2012 R2. Для Windows Server 2012 должно быть установлено обновление 2885541

    Итак, потребуется настроить Port Mirroring в режиме Destination для машины в которую будем направлять внешний трафик.

    Для виртуального коммутатора требуется включить NDIS Capture.

    В качестве источника трафика настроить внешний порт виртуального коммутатора при помощи данных команд PowerShell:

    $a = Get-VMSystemSwitchExtensionPortFeature  -Name “Ethernet Switch Port Security Settings”
    $a.SettingData.MonitorMode = 2
    add-VMSwitchExtensionPortFeature -ExternalPort –SwitchName  <v-switch name>  -VMSwitchExtensionFeature $a
    
    

    Буду рад, если это кому-то поможет.

    ==

    Думаю, это оно. Работать будет и на 2012 (с апдейтом), и на 2012R2

    ~~

     Спасибо!

     Насчет "редкой задачи" -- не уверен:
    для Snort и sniffer-ов позволяет не выделять отдельный физический computer



    13 марта 2014 г. 8:01
  • ~

     Вариация метода:

    ~

    https://blogs.technet.com/b/koalra/archive/2012/11/07/windows-server-2012-hyper-v-mirroring.aspx?Redirected=true

    =}

    TechNet Blogs }} Ko Allah's White House ... }}  Windows Server 2012 Hyper-V, port
    monitoring (Mirroring)-based network
    management

    ==

    Seung Joo Baek

    7 Nov 2012 1:25 AM                          

      . . .

    the physical ports the port mirroring. Windows Server 2012 R2 and capture driver
    for my Hyper-V virtual switch extensions can be done through NDIS.

    This can be enabled by the PowerShell, cmdlets are:

    $a = Get-VMSystemSwitchExtensionPortFeature -FeatureId 776e0ba7-94a1-41c8-8f28-951f524251b5 
    $a.SettingData.MonitorMode = 2 
    add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName name_of_the_switch -VMSwitchExtensionFeature $a

    Wouldn't that difficult?
    Related switch expansion port of the NDIS,
    the identity of the captured driver,
    unplug the monitor mode 2 (port monitoring)
    and, in addition to the external port related functions.
    This involves a process, the external port is connected to a physical switch occurred on the VM in the packet will be monitored.

    Not a physical port setting, VM-to-be a part of it, for the time when, if you look at it, never to get a glimpse of the classroom.

    ==

    13 марта 2014 г. 12:42

  • Alex,

    Спасибо.

    Заработало. Это круто.

    8 апреля 2014 г. 14:52
  • Доброго времени суток всем.

    У меня такая-же проблема. Обновление установил, Related switch expansion port of the NDIS - выполнил. Выполняю все пункты, но на последнем выходит ошибка:

    PS C:\Windows\System32\WindowsPowerShell\v1.0> add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName " "Traf_mirroring" -VMSwitchExtensionFeature $a
    add-VMSwitchExtensionPortFeature : No network adapter is found with the given input.
    At line:1 char:1
    + add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName "Traf_mirroring" -VMS ...
    + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : NotSpecified: (:) [Add-VMSwitchExtensionPortFeature], VirtualizationOperation
       tion

        + FullyQualifiedErrorId : Microsoft.HyperV.PowerShell.Commands.AddVMSwitchExtensionPortFeatureCommand

    Прошу очень помочь, в чем ошибка?

    1 июня 2014 г. 19:44
  • У Вас с кавычками перебор

    add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName " "Traf_mirroring" -VMSwitchExtensionFeature $a

    1 июня 2014 г. 19:56
  • У Вас с кавычками перебор

    add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName " "Traf_mirroring" -VMSwitchExtensionFeature $a

    Это ошибка копирования. Вот команда:

    PS C:\Windows\System32\WindowsPowerShell\v1.0> add-VMSwitchExtensionPortFeature -ExternalPort -SwitchName "Traf_mirroring" -VMSwitchExtensionFeature $a

    Ошибка та-же.

    1 июня 2014 г. 20:07
  • первая русская "а"
    1 июня 2014 г. 20:18
  • первая русская "а"
    Не смешно)))) там всё англ. Проверил, переввёл всю фразу.
    1 июня 2014 г. 20:23
  • add-VMSwitchExtensionPortFeature  командлет без параметров работает?
    1 июня 2014 г. 20:24
  • add-VMSwitchExtensionPortFeature  командлет без параметров работает?
    да. Но как дальше параметры вводить?
    1 июня 2014 г. 20:30
  • Поймал ошибку, проблема решается удалением текущего виртуального коммутатора и созданием нового.

    1 июня 2014 г. 23:05
  • Поймал ошибку, проблема решается удалением текущего виртуального коммутатора и созданием нового.

    После этого - да, даёт создать, но трафик не идёт. Повторно если выполнить - опять ошибка. Скажите, а проще нет способа? 
    2 июня 2014 г. 14:50