Dela via

Konfigurera krypterade nätverk i SDN med VMM

  • Artikel

Viktigt

Den här versionen av Virtual Machine Manager (VMM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till VMM 2022.

Den här artikeln beskriver hur du krypterar virtuella datornätverk i programvarudefinierade nätverk (SDN) med hjälp av System Center – Virtual Machine Manager (VMM).

Idag kan nätverkstrafik krypteras av gästoperativsystemet eller ett program med hjälp av tekniker som IPSec och TLS. Dessa tekniker är dock svåra att implementera på grund av deras inneboende komplexitet och utmaningar som rör samverkan mellan system på grund av implementeringens karaktär.

Med hjälp av funktionen för krypterade nätverk i VMM kan du enkelt konfigurera kryptering från slutpunkt till slutpunkt i de virtuella datornätverken med hjälp av nätverksstyrenheten (NC). Den här krypteringen förhindrar att trafik mellan två virtuella datorer i samma virtuella datornätverk och samma undernät läs- och manipuleras.

VMM 1801 och senare stöder den här funktionen.

Krypteringskontrollen är på undernätsnivå och kryptering kan aktiveras/inaktiveras för varje undernät i det virtuella datornätverket.

Den här funktionen hanteras via SDN-nätverksstyrenheten (NC). Om du inte redan har en SDN-infrastruktur (Software Defined Network) med en nätverkssäkerhetsgrupp kan du läsa mer i distribuera SDN.

Anteckning

Den här funktionen ger för närvarande skydd mot administratörer från tredje part och nätverk och erbjuder inget skydd mot infrastrukturresursadministratörer. Skydd mot infrastrukturresurser är i pipelinen och kommer snart att vara tillgängligt.

Innan du börjar

Se till att följande krav är uppfyllda:

  • Minst två värdar för virtuella klientdatorer för att verifiera krypteringen.
  • HNV-baserat virtuellt datornätverk med kryptering aktiverat och ett certifikat som kan skapas och distribueras av infrastrukturresursadministratören.

    Anteckning

    Certifikatet, tillsammans med dess privata nyckel, måste lagras i det lokala certifikatarkivet för alla värdar där de virtuella datorerna (i det nätverket) finns.

Procedur – konfigurera krypterade nätverk

Använd följande steg:

  1. Skapa ett certifikat och placera sedan certifikatet i det lokala certifikatarkivet för alla värdar där du planerar att placera de virtuella klientdatorerna för den här verifieringen.

  2. Du kan antingen skapa ett självsignerat certifikat eller hämta ett certifikat från en certifikatutfärdare. Information om hur du genererar självsignerade certifikat och placerar dem på lämpliga platser för varje värd som du ska använda finns i Konfigurera kryptering för ett virtuellt undernät.

    Anteckning

    Anteckna tumavtrycket för certifikatet som du genererar. I artikeln ovan i steg 2 behöver du inte utföra åtgärderna som beskrivs i "Skapa en certifikatautentiseringsuppgift" och "Konfigurera en Virtual Network för kryptering". Du konfigurerar inställningarna med VMM i följande steg.

  3. Konfigurera ett HNV-providernätverk för klient-VM-anslutning, som kommer att hanteras av NC. Läs mer.

  4. Skapa ett virtuellt klientnätverk och ett undernät. När du skapar undernätet väljer du Aktivera kryptering under VM-undernät. Läs mer.

    I nästa steg klistrar du in tumavtrycket för certifikatet som du skapade.

    Skärmbild av nätverkskryptering.

    Skärmbild av krypteringsinformation.

  5. Skapa två virtuella datorer på två separata fysiska värdar och anslut dem till ovanstående undernät. Läs mer.

  6. Bifoga paketsniffningsprogram i de två nätverksgränssnitten för de två värdar där de virtuella klientdatorerna är placerade.

  7. Skicka trafik, ping, HTTP eller andra paket mellan de två värdarna och kontrollera paketen i programmet för paketsniffning. Paketen bör inte ha någon märkbar oformaterad text som parametrarna för en HTTP-begäran.