Hyper-V’de ana makina (host) ek bir güvenlik önlemi olarak MAC adreslerinin dinamik olarak taklit edilmesini (MAC address spoofing) engeller. Bunun sebebi ise sanal makinanın tam yönetici haklarına sahip olup, veri merkezinde de güvenilmez (untrusted) bir durumda olabilmesi (örneğin sunucunun bağımsız bir barındırma firmasında olması gibi) durumuna bir önlem olmasıdır. Böyle bir durumda, MAC adresi taklit edebilen bir sanal makina bir diğer sanal makinaya servis reddi (Denial of Service – DOS) veya bilgi sızdırma (information disclosure) saldırıları başlatabilir. Eğer bir sanal makina kendi MAC adresini değiştirebilirse, diğer sanal makinaların MAC adreslerini de taklit edebilir ve ana makina üzerinde bulunan diğer sanal sunucuları da etkileyebilir. Aslında fiziksel switch’ler de buna benzer korumaya sahiptir; ağ yöneticisi bu özelliği aktif ya da pasif edebilir.
Eğer sanal makina üzerinde Ağ Yük Dengeleme özelliği yapılandırılmadan önce MAC adres taklit etme özelliği aktif edilmezse, Ağ Yük Dengeleme Kümesinde (NLB Cluster) sorunlar yaşanır.
Hyper-V üzerinde Ağ Yük Dengeleme özelliği unicast modda yapılandırılırken MAC adres taklit edilmesi pasif durumda ise, aşağıdaki sıkıntıların tümü ya da bazıları sistemlerinizde görülebilir:
- Ağ Yük Dengeleyici’yi ilk defa yapılandırırken, Ağ Yük Dengeleyicinin üzerinde çalıştığı ağ kartında bağlantı kesilir,
- Windows Olay Günlüğü’ne ağ kartının dinamik MAC adres güncellemeyi desteklemediğine dair hata mesajları gelir,
- Sunucu yeniden başlatıldıktan sonra, Ağ Yük Dengeleyici, ağ kartına bağlı olarak gözükür, ancak küme (cluster) sanal IP’si (Virtual IP) ağ kartına eklenmemiştir (eklenemez de),
- Küme MAC adresi hâlâ Ağ Yük Dengeliyici yapılandırılmadan önceki ağ kartı MAC adresi ile aynıdır (ipconfig /all ile kontrol edebilirsiniz) ve “02-BF-***” ile başlar,
- Eğer tüm bu sıkıntıları göz ardı edip sanal IP adresini manuel olarak eklemeye çalışırsanız, kümede aynı sanal IP’ye sahip diğer nodlar ile IP çakışması yaşarsınız.
Tüm bu sorunları aşmak için, üzerinde Ağ Yük Dengeleme özelliğini çalıştıracağınız sanal makinalarda “MAC Adres taklit” özelliğini aktif hale getirmemiz gerekir. Bunun için Start -> Administrative Tools -> Hyper-V Manager ile Hyper-V konsolunu açıyoruz. İlgili sanal makinayı kapattıktan sonra, Hyper-V konsolunda sanal makinaya sağ tıklayarak Settings’i seçiyoruz ve Hardware altında Network Adapter kısmına geliyoruz. Sağ tarafta da “Enable spoofing of MAC addresses”i işaretliyoruz. Üzerinde Ağ Yük Dengeleyici olan tüm sanal sunucular için bu işlemi yapıyoruz:
Kaynak:
Perriman, Simon. Deploying Network Load Balancing (NLB) and Virtual Machines on Windows Server 2008 R2.http://blogs.msdn.com/b/clustering/archive/2010/07/01/10033544.aspx
Tolga'nın kişisel blog'u 