(0) exportieren Drucken
Alle erweitern

Neues beim virtuellen Hyper-V-Switch unter Windows Server 2012 R2

Veröffentlicht: Juli 2013

Letzte Aktualisierung: August 2013

Betrifft: Windows Server 2012 R2



Dieses Thema enthält Informationen zu den neuen Features für den virtuellen Hyper-V-Switch unter Windows Server® 2012 R2.

Dieses Thema enthält die folgenden Abschnitte:

Unternehmen und Clouddienstanbieter (Cloud Service Providers, CSPs) können die erweiterten Port-Zugriffssteuerungslisten (Access Control Lists, ACLs) für den für virtuellen Hyper-V-Switch so konfigurieren, dass für die virtuellen Mandantencomputer in ihren Rechenzentren Firewallschutz besteht und Sicherheitsrichtlinien durchgesetzt werden. Da die Port-ACLs nicht auf den virtuellen Computern sondern auf dem virtuellen Hyper-V-Switch konfiguriert werden, können Sie Sicherheitsrichtlinien für alle Mandanten in einer mehrinstanzenfähigen Umgebung verwalten.

Im Folgenden finden Sie die neuen Funktionen für erweiterte Port-ACLs:

  • ACLs enthalten jetzt die Socketportnummer. Unter Windows Server 2012 konnten die Quell- und die Ziel-MAC- und -IP-Adressen für IPv4 und IPv6 angegeben werden. Unter Windows Server 2012 R2 können Sie beim Erstellen von Regeln auch die Portnummer angeben.

  • Sie können jetzt zustandsbehaftete, unidirektionale Regeln erstellen, die einen Timeout-Parameter bereitstellen. Mit einer zustandsbehafteten Firewall-Regel ist Datenverkehr zulässig, und zwei Datenverkehrsflüsse werden dynamisch erstellt. Bei den zwei Datenverkehrsflüssen handelt es sich um eine ausgehende Regel, die fünf Attributen in ausgehenden Paketen entspricht, und eine eingehende Regel, die den selben fünf Attributen entspricht. Nachdem eine zustandsbehaftete Regel einmal erfolgreich angewendet wurde, werden die beiden Datenverkehrsflüsse für einen Zeitraum, den Sie mit dem Timeout-Attribut festlegen, zugelassen, ohne dass sie erneut mit der Regel abgeglichen werden. Wenn die Firewall-Regel das Timeout-Attribut überschreitet, werden die Datenverkehrsflüsse erneut anhand von Regeln geprüft.

Des Weiteren bieten erweiterte Port-ACLs folgende Vorteile:

  • In mehrinstanzenfähigen Umgebungen können Sie Rechenzetrumsressourcen schützen und Sicherheitsrichtlinien für Ihre Mandanten durchsetzen.

  • Kompatibilität mit Hyper-V-Netzwerkvirtualisierung

  • Eine Verwaltungsschnittstelle, die Ihnen das einfache Konfigurieren von Firewallregeln mithilfe von Windows PowerShell ermöglicht.

  • Protokollierungs- und Diagnosefunktionen, mit denen Sie den Betrieb der Firewall sicherstellen und ggf. Fehlkonfigurationen der Port-ACLs erkennen können.

  • Kann als zustandslose Firewall konfiguriert werden, indem Pakete basierend auf fünf Attributen im Paket gefiltert werden; mit einer zustandslosen Firewallkonfiguration können Sie eine beliebige Firewallregel auf eingehenden oder ausgehenden Netzwerkdatenverkehr anwenden, und die Regel kann Datenverkehr entweder zulassen oder verweigern.

Weitere Informationen finden Sie in den folgenden Themen.

Windows Server® 2012 stellte gleichzeitig Lastenverteilung und Failover bereit, stellte jedoch keine ausgeglichene Lastenverteilung zwischen NICs in einem NIC-Team sicher.

Unter Windows Server® 2012 R2 werden Datenverkehrsflüsse innerhalb des NIC-Teams durch den dynamischen Lastenausgleich laufend und automatisch von NIC zu NIC verschoben, um den Datenverkehr möglichst gleichmäßig aufzuteilen.

Weitere Informationen zum NIC-Teamvorgang finden Sie in der Übersicht zum NIC-Teamvorgang.

Weiterleitungserweiterungen für den Hyper-V-Switch, die auf einem virtuellen Hyper-V-Switch in einer Hyper-V-Netzwerkvirtualisierungs (HNV)-Umgebung installiert sind, können jetzt Pakete entweder für den VM-Kundenadressraum oder den physischen Adressraum weiterleiten, da Switcherweiterungen jetzt nahtlos gleichzeitig mit Netzwerkvirtualisierung verwendet werden können, die NVGRE (Network Virtualization Generic Routing Encapsulation) verwendet.

Wenn Sie eine Weiterleitungserweiterung eines Drittanbieters installiert haben, führt der virtuelle Hyper-V-Switch jetzt Hybridweiterleitungen durch. Bei Hybridweiterleitungen wird NVGRE-gekapselter Netzwerkdatenverkehr innerhalb des Switches vom HNV-Modul weitergeleitet, während der gesamte übrige Netzwerkdatenverkehr von den installierten Weiterleitungserweiterungen von Drittanbietern weitergeleitet wird.

Neben der Weiterleitung können Weiterleitungserweiterungen von Drittanbietern auch andere Richtlinien wie z. B. ACLs und QoS auf NVGRE-gekapselten und nicht NVGRE-gekapselten Datenverkehr anwenden. Die zu installierenden Weiterleitungserweiterungen müssen in der Lage sein, beide Arten von Netzwerkdatenverkehr basierend auf den jeweiligen vorgesehenen Zielen zu verarbeiten. Beispielsweise ist die Sichtbarkeit der PA-Adresse für Erweiterungen erforderlich, die den Lastenausgleich für Switchteams durchführen.

Die Richtlinien und Funktionen des virtuellen Hyper-V-Switches und von Drittanbietererweiterungen lösen sich nicht ab, sondern sind gegenseitig verfügbar.

Weitere Informationen zur Hyper-V-Netzwerkvirtualisierung finden Sie unter Hyper-V-Netzwerkvirtualisierung: Übersicht.

Unter Windows Server 2012 wird die empfangsseitige Skalierung (Receive Side Scaling, RSS) über SR-IOV unterstützt unter Windows Server 2012 R2 wird jetzt die virtuelle empfangsseitige Skalierung (Virtual Receive-Side Scaling, vRSS) im VM-Netzwerkpfad unterstützt und ermöglicht, dass virtuelle Computer eine höhere Netzwerk-Datenverkehrsauslastung auffangen.

Bisher sind aufgrund der Verarbeitungsmenge über einen einzigen CPU-Kern bisweilen Probleme aufgetreten, wenn virtuelle Computer einen Netzwerkdurchsatz von ca. 10 GBit/s erzielen sollten. vRSS behebt dieses Problem, indem die Verarbeitung auf mehrere Kerne auf dem Host und mehrere Kerne auf dem virtuellen Computer aufgeteilt wird.

Virtuelle Computer müssen für die Verwendung mehrerer Kerne konfiguriert sein und RSS unterstützen, damit vRSS genutzt werden kann. Wenn der virtuelle Computer im VM-Netzwerkpfad RSS verwendet, ist vRSS automatisch aktiviert.

Weitere Informationen zu RSS finden Sie unter Empfangsseitige Skalierung (Receive Side Scaling, RSS).

Netzwerkablaufverfolgungen enthalten jetzt Switch- und Portkconfigurationsinformationen, bieten eine Ablaufverfolgung von Paketen durch den virtuellen Hyper-V-Switch, und alle installierten Weiterleitungserweiterungen sind einfacher zu verwenden und zu lesen.

Informationen zu Unified Tracing finden Sie in der Übersicht von Unified Tracing und unter Netsh-Befehle für die Netzwerkablaufverfolgung unter Windows Server 2012 sowie in der Windows Server 2012 R2 technischen Bibliothek.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft