HYPER-V Project

[מרדכי דהן]

שלום לפורום  ולצוות המומחים 

אני עושה את צעדיי הראשונים במחשבים ותקשורת ודי בור בחלק מהנושאים  וכרגע מנסה ללמוד עצמאית ללא תוכנית לימוד סדורה 

(ובין היתר שובר שיניים באנגלית כך שאעדיף לינקים במידת הצורך בעברית אם ישנו מקביל) 

 

אשמח לעזרה בפרויקט ב HYPER  -V שאני מנסה להקים 

כנראה שאצטרך עזרה רבה מכיוון שמדובר בפרויקט נרחב ודי מורכב (לפחות עבורי)  

אני מבין שכנראה לסייע לי להקים את הפרויקט יגזול מכם זמן רב  אז ממש ממש אודה לכל מי שיוכל לתרום אפילו חלק קטן מהידע שלו לתוכנית כל אחד בתחומו 

אם ישנו צורך אפילו בתשלום (אם חוקי הפורום מאפשרים זאת)

סביר להניח שחלק ממכם יפנו אותי לחפש בגוגל (בהבנה כמובן... לא קל לעבוד עם חובבים  ) עשיתי כבר חלק מהכנות הרקע בקריאה של מידע בגוגל אך המידע מתייחס לכל מכונה/שירות באופן ספציפי ולא כחלק מרשת תקשורת ואינטגרציה בין הרכיבים באותה רשת 

 

הפרויקט אמור לדמות רשת "אמיתית" הכוללת נתבים FW,domain ועוד ברשת בינונית SMB

 

אפיון הפרויקט וקווים מנחים בסיסיים 

-כשאני מציין רשת ה"אינטרנט ז"א המחשב הלוקאלי/מחשב אחר ברשת הביתית-גישה מרחוק (מכתובת ציבורית אמיתית)תהיה רק בשלב הבא לאחר שהפרוייקט יושלם במלואו 

 

א. לכל המכונות תהייה גישה החוצה לרשת האינטרנט "האמתית" (בהתאם לחוקי FW -שירותים בסיסיים כגון גלישה RDP/FTP עדכוני Windows )

ב. לחלק מהמכונות תהייה גישה מרשת האינטרנט לשירותים ספציפיים (בהתאם לחוקי FW בחלק מהמכונות) למשל ב RDP או management של ה FW/LNS או SSH

ג. כל המכונות ירוצו על HYPER-V בלבד ללא הטמעה של פתרונות ווירטואליזציה שונים (למעט פתרונות ותוספים ל HYPER-V עצמו אם ישנו צורך חיוני) 

ד. התעבורה החוצה (דרך המחשב הפיזי) תהייה באמצעות ה network adapter הפיזי של המחשב הפיזי  ולא באמצעות virtual adapter (אני משתמש בתוכנת ניהול QOS וגישה לרשת הפועלת רק על אותו כ.רשת ספציפי) 

ה. אין מניעה שרק המכונות הווירטואליות יצאו (ברמה הלוגית) דרך virtual adapter אך התעבורה פנימה והחוצה של המחשב המקומי לשאר היישומים  (למשל גלישה TORRENT) תתבצע כפי שאופיין בסעיף ד. 
ו. דיסקים קשיחים ווירטואלים VHD/VHDX (אגב אשמח להסבר קצרצר על יכולת ושימוש של כל אחד מהם) לא יופיעו במנהל הכוננים (diskmgmt.msc) במכונה הפיזית ולא יוכרו על ידה כדיסק המחובר למחשב (ע"מ ליצור הפרדה ומניעת השפעה על התנהלות המחשב המשמש לשימושים שונים ביום יום 

ז. תהיה אפשרות לשתף קבצים (ואף להעביר) בין המחשב הפיזי למכונות תומכות (WIN/WIN-SRV) באמצעות תיקיה משותפת או מיפוי שיופיע במכונות עצמם אך לא ישפיע על תצורת הכוננים במחשב הפיזי 

ח. לכל המכונות למעט אחת לא תהייה גישה ישירה ( ז"א ללא IP ציבורי שבעצם לצורך התפקיד  מהווה private IP של הרשת הביתית האמתית שלי) לאינטרנט אלא רק למי שאחראית בסופו של דבר לקישור כל השאר יעבדו תחת NAT (או מספר רשתות NAT ) 

ט. העדפה היא לביצועים מיטביים של המכונות אפילו על חשבון המחשב הפיזי -הדרישה המינימלית היא הפעלה של לפחות 5-6 מכונות במקביל ע"מ לאפשר סימולציה התחלתית  (י"צ בהערכה לגבי הקצאת משאבים לכל מכונה בהתאם לאופי השימוש שלה וצריכת כוח עיבוד)

י. לא חובה -אך ישנו מתאם רשת פיזי נוסף ( לא מנוהל תוכנה ) שדרכו ניתן לתעל תעבורה של כל הרשת הווירטואלית ב HYPER-V ובעצם לייצר הפרדה פיזית (י"צ לגרום בעצם ל 2 המתאמים לעבוד במקביל כל אחד עם כתובת IP שונה מהנתב לצורך הפניית פורטים  "מתירנית"  למכונות ומוקשחת יותר למחשב  המקומי בנפרד ומניעת התנגשות עם שירותים מקומיים ) 

 

NOTE :בשלב הראשון ארצה לוודא גישה ממחשב אחר ברשת המקומית הפיזית למכונות המאפשרות גישה לפני החלטות על port fowording בנתב עצמו ותיעול התעבורה מבחוץ מול השירותים שהמחשב עצמו מפעיל 

 

נתונים בסייסים על תצורת הרשת והחומרה במחשב 

 

מודם נתב שמהווה DHCP server ומבצע /PAT  NAT  

DHCP IP range -10.100.102.2-10.100.102.254/24 (הNET MASK בעצם לא שייך ל CLASS A אלא עבר subnetting לאורך של 24 ) 

default gateway -10.100.102.1

IP לוקאלי של המחשב הפיזי שעליו רק ה HYPER-V  -אי פי 10.100.102.7 (ששייך לאותו כ.רשת מנוהל תוכנה ), אם סעיף י. אפשרי טכנית אז למתאם (הפיזי) הנוסף תוקצה כתובת שמסתיימת בספרה אחרת למשל 10.100.102.8

 

מפרט טכני 

 

לוח X99G5

מעבד I7 5820K 6/12 cores/threads 3.3ghz תומך Intel-VT/HYPERVISIOR

זיכרון 32GB DDR4 2133MHz  

מעבד גרפי GTX980G1 

אחסון מרכזי -(2TB HDD 7200rpm(wd black ו + SSD512EVO850  

-העדפה היא לאחסן את המכונות הווירטואליות והVHD על ה HDD  (אלא אם  כי לא ניתן לספק מהירות קריאה /כתיבה סבירה לפחות ל 3 מכונות הכותבות במקביל )

 

הסיוע והחידע שאשמח ללמוד מניסיונכם  הוא :

איזה VIRTUAL SWITCH להגדיר וכמה (עדיפות למינימום האפשרי ) 

איזה מכונה לחבר לכל VS 

אילו ISO/IMAGE יש להוריד עבור כל מכונה (למשל עבור הLNS אצטרך אמולציה של מכונה שהיא לא WIN ולא מתבססת על חומרה של PC  אם אפשרי) 

אילו תוכנות נלוות יש להוריד בנוסף להתקנה על המכונות עצמם (כמו gaia לניהול הFW או FTP CLIENT) 

סוג הכוננים הווירטואלים של כל מכונה (VHD/VHDX) והמלצה לגבי בחירת ההתקן (דינאמי או fixed) 

בחירת generation type לכל מכונה בנפרד 

הקצאת ליבות/תהליכונים לכל מכונה בנפרד 

הקצאת זיכרון RAM לכל מכונה -המלצה אם להשתמש בזיכרון דינאמי או שמור מראש 

-חיבור סופי של כל המכונות אחת לשנייה 

-המלצות והערכות להרחבת הרשת בעתיד או הגברת פונקציונאליות (למשל התקנת EXCHANGE והגדרת ה FW  למעבר התעבורה בין outlook client לשרתים הרחבה ל SITE נוסף/child  וכו') 

-המלצה לקליינט ניהול הסרברים שיותקן על מחשב הניהול שאינו שרת WINDOWS 

 

 

הדגמה של טופולוגיה לוגית של הרשת (סליחה על החובבנות עוד לא העמקתי מספיק ב VISIO  ולא מכיר תוכניות נוספות ליצירת דיאגרמות ועצי נתונים גרפיים ) 

1. רכיב LNS "אמיתי" -שתומך בתיעול PPPOE -בLNS אמורים להיות יוזרים לדוג' וסיומות לדוג' (לא יוזרים דומיינים אלא יוזר חיוג PPP למשל Y@0XX -ה FW  אמור לחייג מול ה LNS  ולקבל IP "חיצוני" 

הLNS הוא הרכיב היחיד שמחובר ישירות החוצה -(IP 10.100.102.X) 

 

כשאני מציין "LNS" זא לא רכיב LNS  בתצורת L2TP אלא רכיב אימות וחיבור בדומה ל RADUS המשמש בספקיות תקשורת לחיבור משתמשים לאינטרנט-הכינוי LNS נפוץ גם בPPPOE למרות שמדובר ברכיב אחר 

 

2. FW של chackpoint  ל SMB בגרסאות 7XX

חובה תמיכה (תוכנתית) בPPPOE יציאת DMZ ו2 רשתות LAN  נפרדות + קומפוננטים כגון web filter/ips/ids וכו' 

ל FW יהיו מחוברים 3 רשתות כמפורט בתרשים עם תקשורת מינימלית בניהם (כל מה שלא נצרך -חסום) הFW יאפשר גישה לterminal מהמחשב הלוקאלי (הפיזי) ו ממחשב נוסף ברשת הביתית ה"אמיתית" (פסבדו אינטרנט עבור ה FW) וכן ל FTP ושירותים בסיסים לשאר המכונות לרבות גלישה והורדת קבצים דרך דפדפן בלבד על ה FW  לשמש גם ג DHCP ולהעביר את הגדרות ה DNS גם כן (ה DNS הוא גם ה DC) 

 

4.  שרת Windows 2016 עם תפקיד FTP ברשת DMZ נפרדת -על הFW לאפשר כל תעבורה מה WAN או משאר הרשתות לצורך FTP (השרת יהיה חלק מדומיין אך יש צורך להגדרה של לפחות יוזר אחד שאינו דומייני שיוכל לקבל גישה לקבצים ויתחבר מהמחשב הלוקאלי שמהווה WAN או מחשב אחר ברשת הפנימית האמתית) 

5. מחשב PC WIN10PRO בדומיין עם שירות כלשהו שניתן לבדיקה לתקינות הפניית הפורטים כאשר ב FW  ה destination port מתורגם לפורט אחר - המלצה לתוכנה/שירות 

6. מחשב WIN10PRO רגיל  בדומיין המשמש כקליינט כדוגמא לאוטנטיקציה תקינה בדומיין,משיכת group policy DNS ושירותים נוספים - 

7.שרת SRV 2016 עם התפקידים DC/DNS כרגע בודד ללא failover או רפליקציה /balancing  על ה FW לאפשר גישה עבור כל השירותים הנצרכים 

8. מחשב עם win 10 pro בדומיין  השייך לאדמין -יקבל STATIC IP מה FW ורק ממנו ניתן להתחבר לניהול ה FW בין בGAIA או בממשק WEB וכן תוכנה לניהול שאר השרתים +ה LNS (אם קיימת כזו) על הFW לאפשר לו גישה לכל השירותים הנצרכים לצורך הניהול - על ה FW לאפשרק גישה ולבצע המרה לפורט 3389 לאפשרות חיבור ב RDP מרחוק -על המחשב לאפשר יוזר נוסף להתחברות ב RDP שאינו יוזר דומייני (כמו ב FTP)

9 שרת 2016 עם תפקיד terminal שיאפשר מספר חיבורים ב RDP/RDS הכוללים שולחן עבודה מלא של המשתמש השרת יאפשר התחברות מכל השרתים והמחשבים הווירטואלים מכל הרשתות ויש להגדיר זאת ב FW לרבות תרגום פורטים ע"מ לבצע "הסתרה" של השירות הפתוח   -עליו לאפשר גישה מבחוץ (מחשב פיזי/מחשב ברשת הביתית) עם יוזר שאינו חבר בדומיין (במידה ואפשר ללא רכישת CAL) 

10 . קליינט 10PRO רגיל בדומייןלווידוא התחברות תקינה לDC הקיים ברגל (רשת) אחרת של ה FW והגדרת חוקי גישה תקינים 

11 מחשב נוסף 10 pro לא מצורף לדומיין אך נמצא בPOOL כתובות של שאר המחשבים באותה רגל של הFW המחשב אמור "לראות" שכנים ב ARP אך אינו מורשה לבצע PING או ליזום תקשורת למכונות ברשת LAN1 LAN2 למעט חיבור לterminal עם יוזר מקומי בלבד (ושאינו היוזר שהוגדר להתחברות לFTP/טרמינל מ"בחוץ)  

 

לשקול הוספת lns נוסף ברשת אחרת עם fw מחייג מאחוריו ומחשב בודד לצורך בדיקה של site to site ושרת-לק' VPN 

 

קצת חפרתי (קצת יותר מדיי) ויתכן מאוד שחלק מהדברים אינם אפשריים אשמח להסבר מה לא אפשרי ואם ניתן לדעת מדוע