So erstellen Sie in Hyper-V Port-ACL-Regeln mit PowerShell

Mit PowerShell-Befehlen können Sie in Hyper-V nicht nur Port-ACL-Regeln erstellen, sondern auch einer VM zugewiesene Regeln entfernen und für eine VM konfigurierte Regeln abfragen.

Hyper-V kann Port-Zugriffssteuerungslisten (Access Control Lists, ACLs) nutzen, um den VM-Traffic von anderen VMs im selben virtuellen LAN zu isolieren. Zwar stehen für die Isolierung von VM-Traffic auch andere Wege zur Verfügung, doch am einfachsten lassen sich dafür Port-ACLs verwenden.

Wichtig ist allerdings zu wissen, dass die grafische Benutzeroberfläche des Hyper-V Managers keine Möglichkeit vorsieht, Port-ACLs zu konfigurieren. Um Port-ACLs zu erstellen, müssen Sie stattdessen PowerShell-Cmdlets für Hyper-V verwenden – oder den Virtual Machine Manager, wenn Sie System Center VMM 2012 R2 mit dem Update Rollup 8 einsetzen.

Im Zusammenhang mit Port-ACLs gibt es drei PowerShell-Cmdlets: Add-VMNetworkAdapterACL, Remove-VMNetworkAdapterACL und Get-VMNetworkAdapterACL. Wie der Name bereits andeutet, fügen Sie mit Add-VMNetworkAdapterACL eine neue Port-ACL-Regel hinzu. Das PowerShell-Cmdlet Remove-VMNetworkAdapterACL entfernt eine oder alle Port-ACL-Regeln, die einer VM zugewiesen sind, während Get-VMNetworkAdapterACL die Port-ACL-Regeln abfragt, die für eine VM konfiguriert wurden.

Wenn Sie eine Port-ACL-Regel anlegen, sind drei Angaben erforderlich. Erstens benötigen Sie die MAC-Adresse (Media Access Control Address), die lokale beziehungsweise Remote-IPv4/IPv6-Adresse oder das IP-Subnetz, für das die Regel erstellt wird. Dies wird manchmal als Traffic-Quelle bezeichnet. Das zweite Element, das Sie brauchen, ist die Richtung des Traffics, also entweder eingehend, ausgehend oder beides. Das letzte Element, das Sie in einer Port-ACL-Regel angeben müssen, ist die Aktion (Action). Mit Action legen Sie fest, ob Traffic geblockt oder zugelassen werden soll. Sie können anstatt Block oder Allow auch den Wert Meter verwenden, falls Sie den Netzwerk-Traffic messen wollen, der an eine Kunden-VM übertragen wird.

Um eine Port-ACL-Regel zu konfigurieren, führen Sie diesen Befehl aus:

Add-VMNetworkAdapterACL –VMName “SQLVM” –RemoteIPAddress 10.10.10.66 –Direction Both –Action Deny

Wie Sie erkennen können, wird hiermit für SQLVM eine ACL-Regel konfiguriert, die festlegt, dass der eingehende und ausgehende Traffic – angegeben durch den Parameter Direction Both – des Remote-Computers mit der Adresse 10.10.10.66 geblockt werden muss.

Die Hyper-V-Rolle muss auf Windows Server 2012 oder aktuelleren Betriebssystemen ausgeführt werden. VMs müssen auch mit dem virtuellen Switch in Hyper-V verbunden sein, ehe Sie Port-ACL-Regeln anlegen können.

Wenn Sie nach dem Parameter -RemoteIPAddress anstelle einer lokalen oder Remote-Adresse den Wert ANY verwenden, wird der Traffic zur VM für jede Adresse entweder erlaubt oder geblockt. Hier ein Beispiel für die Verwendung von ANY:

Add-VMNetworkAdapterACL –VMName “SQLVM” –RemoteIPAddress ANY –Direction Both –Action Deny

Wenn Sie die Port-ACL-Regeln sehen wollen, die mit einer bestimmten VM verbunden sind, verwenden Sie das Kommando Get-VMNetworkAdapaterACL –VMName SQLVM. Um eine bestimmte Port-ACL-Regel für eine VM zu entfernen, führen Sie Remove-VMNetworkAdapterACL –VMName SQLVM <Parameter für Regel> aus. Um zum Beispiel eine bestimmte Regel zu entfernen, starten Sie den PowerShell-Befehl Remove-VMNetworkAdapterACL –VMName SQLVM –RemoteIPAddress 192.160.10.10 –Direction Both –Action Allow.

Wenn Sie alle Port-ACL-Regeln entfernen wollen, die einer bestimmten VM zugewiesen sind, verwenden Sie Get-VMNetworkAdapterACL in Verbindung mit dem PowerShell-Kommando Remove-VMNetworkAdapterACL, wie im Folgenden gezeigt:

Get-VMNetworkAdapterACL –VMName SQLVM | Remove-VMNetworkAdapterACL

Beachten Sie, dass Microsoft Port-ACL-Regeln erst mit Windows Server 2012 eingeführt hat. Bevor sich Regeln für die Port-ACLs erstellen lassen, muss daher die Hyper-V-Rolle auf Windows Server 2012 oder aktuelleren Betriebssystemen ausgeführt werden, und VMs müssen mit dem virtuellen Switch in Hyper-V verbunden sein.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Was Sie über die Installationsdateien einer Hyper-V-Installation wissen sollten

Windows Server 2016: Die wichtigsten Neuerungen von Hyper-V Manager

In Hype-V mit virtuellen Switches und VLAN-IDs arbeiten

Artikel wurde zuletzt im November 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Software Defined Networking (SDN)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close