Bu makalemde sizleri Sanallaştırma platformları üzerinde çalışan sanal makinelerin (Virtual Machine) ihtiyacı olan Network iletişimini sağlamak amacıyla kullandığı teknoloji olan Virtual Switch (Sanal Switch) hakkında bilgilendirmeye çalışacağım.
Windows Server 2008 64 bit sürümüyle piyasaya sunulan Hyper-V Server sanallaştırma platformunda ilk sürümden itibaren çeşitli ihtiyaçları karşılamak üzere kullanılabilen 3 farklı sanal ağ türü vardır. Virtual Network Switch olarak da bilinen bu Virtual Switch türleri, Virtual Network Switch’lerin bağlantı şeklini (Connection Type) temsil eder.
Hyper-V Virtual Switch Teknik Özellikleri
Hyper-V Virtual Switch'in sağladığı en önemli ve göze çarpan teknik özelliklerini aşağıdaki maddelerde tanımlayabiliriz.
• ARP Poisoning (ARP Zehirlenmesi) Koruması: Virtual Switch, ARP Poisoning (ARP Zehirlenmesi) ile yapılan saldırılara karşı koruma sağlar. ARP Poisoning (ARP Zehirlenmesi), Local Network'te bir saldırı türüdür. Bir IP Adresine karşılık sahte bir MAC Adresi oluşturulmasına ARP Zehirlenmesi denir. Ayrıca şişme bir trafik oluşturarak, Network trafiğini yavaşlatmak da ARP Zehirlenmesi olarak isimlendirilebilir.
• DHCP Snooping Koruması: Virtual Switch, DHCP Snooping saldırılarına karşı koruma sağlar. Şöyle bir örnekle açıklayacak olursak;
Bir Network'te sahte bir DHCP server servisi çalıştıran bir Virtual Machine-VM (sanal makine) olduğunu düşünün. Bu sanal Makine (VM), DHCP isteklerine yanıt versin ve Client'lara Default Gateway olarak kendi IP adresini verdiğini düşünün. Client'ların tüm trafikleri artık bu sahte DHCP server üzerinden geçecektir. Burada bir güvenlik ihlali oluşmaktadır. DHCP Snooping Enable edildiğinde Virtual Switch'ler, hangi Port'taki Client'a hangi IP adresi atandığına dair veritabanı tutmaya başlarlar. Burada ise IP Source Guard devreye girerek alınan paketlerin Source IP adreslerini bu veritabanında Allowed etiketlenen IP adresleri ile eşleştirebilir. Allowed olarak bir eşleşme yoksa, paket Discard edilir.
• Port ACL (Access Control List-Erişim Kontrol Listeleri): Network üzerinde Client'lar arası IP ya da MAC (Media Access Control) adresi tabanlı erişimleri kısıtlamak veya kontrol altına almak üzere kullanılan protokole Access Control List (Erişim Kontrol Listeleri) adı verilir. Bu sayede MAC (Media Access Control) adresi bazında ya da IP adresleri veya IP adres aralıkları bazında erişim koruması sağlayarak güvenlik sağlamış olur.
Trusted ve Untrusted kavramı Nedir?
Trusted, Untrusted portlar'dan gelen DHCP istekleri yanlızca Trusted Port'lara yönlendirilir. Bu durumda DHCP Server'ların bağlı olduğu Port'lar veya Switch ortamında Uplink Port'ları Trusted olmalıdır. Trusted haricindeki Port'lar ise Untrusted Port'lardır bu Port'lardan gelen DHCP Reply paketleri Discard edilir.
Hyper-V Virtual Switch Türleri
• External Virtual Switch (Virtual Network): Bu Virtual Switch türü ile Sanal Makinalar (VM'ler), hem kendi aralarında, hem üstünde çalıştıkları Hypervisor olan Hyper-V Host'u ile hem de Hyper-V Host'unun bağlı olduğu fiziksel Network üzerindeki diğer Server'lar ve diğer Hyper-V ya da VMware Host'ları ile fiziksel Switch üzerinden konuşabilir.
Burada dikkat edilecek nokta, oluşturulan bir External Virtual Switch’in fiziksel Network ile konuşabilmesi için Hyper-V Host üzerinde bulunan fiziksel bir NIC'e (Network Interface Card) Bind edilmiş, yani bağlanmış olması gerektiğidir.
• Internal Virtual Switch (Virtual Network): Bu Virtual Switch türü ile Sanal Makinalar (VM'ler), otomatik olarak oluşan Virtual NIC (vNIC) ile hem kendi aralarında, hem üstünde çalıştıkları Hypervisor olan Hyper-V Host'u ile konuşabilir ancak üstünde çalıştıkları Hypervisor olan Hyper-V Host'u dışındaki hiçbir Host ile konuşamazlar. Bu da, fiziksel Network üzerindeki diğer Server'lar ve diğer Hyper-V ya da VMware Host'ları ile fiziksel Switch üzerinden konuşamayacakları anlamına gelmektedir.
NOT 1: Hyper-V Host'u üzerindeki başka bir sanal makina (VM) üzerinde External Virtual Switch tanımlı ise, bu istisnadır. Bu durum, sadece üzerinde Internal Virtual Switch tanımlı olan sanal makimalar (VM'ler) için geçerlidir.
• Private Virtual Switch (Virtual Network): Bu Virtual Switch türü ile Sanal Makinalar (VM'ler), SADECE kendi aralarında konuşabilirler. Bu da, VM'lerin ne üstünde çalıştıkları Hypervisor olan Hyper-V Host'u ile ne de fiziksel Network üzerindeki diğer Server'lar ve diğer Hyper-V ya da VMware Host'ları ile fiziksel Switch üzerinden konuşamayacakları anlamına gelmektedir.
NOT 2: Hyper-V Host'u üzerindeki başka bir sanal makina (VM) üzerinde External Virtual Switch ya da Internal Virtual Switch tanımlı ise, bu istisnadır. Bu durum, sadece üzerinde External Virtual Switch ya da Internal Virtual Switch tanımlı olan sanal makimalar (VM'ler) için geçerlidir.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.