Virtueller Hyper-V-Switch: Übersicht
Betrifft: Windows Server 2012 R2, Windows Server 2012, Windows 8
In diesem Thema wird der virtuelle Hyper-V-Switch in Windows Server 2012 beschrieben. Außerdem werden in diesem Thema praktische Einsatzmöglichkeiten sowie Hardware- und Softwareanforderungen für den virtuellen Hyper-V-Switch und Links mit zusätzlichen Informationen aufgeführt.
Hinweis
Zusätzlich zu diesem Thema ist auch die folgende Dokumentation zum virtuellen Hyper-V-Switch verfügbar.
Virtueller Hyper-V-Switch
Beim virtuellen Hyper-V-Switch handelt es sich um einen softwarebasierten Schicht-2-Ethernet-Netzwerkswitch, der im Hyper-V-Manager verfügbar ist, wenn Sie die Hyper-V-Serverrolle installieren. Der Switch umfasst programmgesteuert verwaltete und erweiterbare Funktionen zum Verbinden virtueller Computer mit virtuellen Netzwerken und dem physischen Netzwerk. Außerdem bietet der virtuelle Hyper-V-Switch Richtlinienerzwingung für Sicherheits-, Isolations- und Dienststufen.
Wichtig
Der virtuelle Hyper-V-Switch unterstützt nur Ethernet und keine anderen drahtgebundenen lokalen Netzwerk (LAN)-Technologien, wie z. B. Infiniband und Fibre Channel.
Mit dem virtuellen Hyper-V-Switch in Windows Server® 2012 wird eine Reihe neuer und erweiterter Funktionen für Mandantenisolation, Datenverkehrsstrukturierung, Schutz vor schädlichen virtuellen Computern und vereinfachte Problembehandlung eingeführt.
Durch die integrierte Unterstützung von Network Device Interface Specification (NDIS)-Filtertreibern und Windows Filtering Platform (WFP)-Callout-Treibern ermöglicht der virtuelle Hyper-V-Switch unabhängigen Softwareherstellern (Independent Software Vendors, ISVs) das Erstellen erweiterbarer Plug-Ins (bekannt als Erweiterungen für virtuelle Switches), die verbesserte Netzwerk- und Sicherheitsfunktionen bieten. Erweiterungen für virtuelle Switches, die Sie dem virtuellen Hyper-V-Switch hinzufügen, werden im Manager für virtuelle Switches des Hyper-V-Managers angezeigt.
In der folgenden Abbildung verfügt ein virtueller Computer (VM) über eine virtuelle Netzwerkkarte, die über einen Switchport an den virtuellen Hyper-V-Switch angeschlossen ist.
.jpeg "Übersicht über virtuellen Hyper-V-Switch")
Durch die Funktionen des virtuellen Hyper-V-Switch haben Organisationen mehr Optionen zur Erzwingung der Trennung von Mandanten, zur Strukturierung und Kontrolle des Netzwerkdatenverkehrs und zum Einsatz von Schutzmaßnahmen gegen schädliche virtuelle Computer.
Praktische Anwendung
Anzeigen der Statistik: Ein Entwickler bei einem Cloudhostinganbieter implementiert ein Verwaltungspaket, mit dem der aktuelle Zustand des virtuellen Hyper-V-Switches angezeigt wird. Das Verwaltungspaket kann aktuelle Funktionen, Konfigurationseinstellungen und individuelle Portnetzwerkstatistiken mit WMI für den gesamten Switch abfragen. Der Status des Switches wird dann angezeigt, um Administratoren eine kurze Übersicht über den Switch zu geben.
Ressourcennachverfolgung: Eine Hostingfirma vertreibt Hostingdienste, deren Preise sich nach der Ebene der Mitgliedschaft richten. Die verschiedenen Mitgliedschaftsebenen umfassen unterschiedliche Netzwerkleistungsebenen. Der Administrator ordnet die Ressourcen so zu, dass die Netzwerkverfügbarkeit entsprechend den Anforderungen der SLAs gleichmäßig verteilt ist. Der Administrator überwacht programmgesteuert Informationen wie die aktuelle Verwendung der zugewiesenen Bandbreite und die Anzahl der VMQ- (Warteschlange für virtuelle Computer) und IOV-Kanäle für virtuelle Computer. Dasselbe Programm protokolliert außerdem in regelmäßigen Abständen die verwendeten Ressourcen zusätzlich zu den zugewiesenen Ressourcen pro virtuellem Computer, sodass die Ressourceneinträge doppelt erfasst werden.
Verwalten der Reihenfolge von Switcherweiterungen: Ein Unternehmen hat Erweiterungen auf seinem Hyper-V-Host installiert, um den Datenverkehr überwachen und die Erkennung von Eindringversuchen melden zu können. Während der Wartung werden möglicherweise einige Erweiterungen aktualisiert, was zu Änderungen in der Reihenfolge der Erweiterungen führt. Ein einfaches Skriptprogramm wird ausgeführt, um die Erweiterungen nach einer Aktualisierung wieder zu ordnen.
Weiterleitungserweiterung verwaltet VLAN-ID: Ein großes Switchunternehmen erstellt eine Weiterleitungserweiterung, über die alle Richtlinien für das Netzwerk angewendet werden. Ein verwaltetes Element sind IDs für virtuelle lokale Netzwerke (Virtual Local Area Network, VLAN). Der virtuelle Switch übergibt die Kontrolle des VLAN an eine Weiterleitungserweiterung. Die Installation des Switchunternehmens ruft programmgesteuert eine Windows Management Instrumentation (WMI)-Anwendungsprogrammierschnittstelle (API) auf, die die Transparenz aktiviert und den virtuellen Hyper-V-Switch anweist, für VLAN-Tags keine Schritte auszuführen.
Wichtige Funktionalität
Einige der Prinzipalfeatures, die der Hyper-V-Switch umfasst, sind:
Schutz vor "ARP/ND Poisoning" (Spoofing): Bietet Schutz vor einem schädlichen virtuellen Computer, der per ARP-Spoofing (Address Resolution-Protokoll) versucht, IP-Adressen von anderen virtuellen Computern zu stehlen. Bietet Schutz vor Angriffen, die per Nachbarermittlungs-Spoofing (Neighbor Discovery, ND) für IPv6 gestartet werden können.
Schutz per DHCP-Wächter: Bietet Schutz vor einem schädlichen virtuellen Computer, der sich als DHCP-Server (Dynamic Host Configuration-Protokoll) für Man-in-the-middle-Angriffe ausgibt.
Port-ACLs: Ermöglichen die Filterung von Datenverkehr basierend auf MAC- oder IP-Adressen bzw. Bereichen (Media Access Control/Internet Protocol) und somit die Einrichtung der Isolation virtueller Netzwerke.
Trunkmodus zu VM: Ermöglicht Administratoren die Einrichtung eines bestimmten virtuellen Computers als virtuelles Gerät und die anschließende Weiterleitung von Datenverkehr verschiedener VLANs an den virtuellen Computer.
Überwachung des Netzwerkdatenverkehrs: Ermöglicht Administratoren die Überprüfung von Datenverkehr, der den Netzwerkswitch durchläuft.
Isoliertes (privates) VLAN: Ermöglicht Administratoren die Aufteilung von Datenverkehr auf mehrere VLANs, um die Einrichtung isolierter Mandantencommunities zu vereinfachen.
Im Folgenden finden Sie eine Liste der Funktionen, die die Verwendbarkeit des virtuellen Hyper-V-Switches verbessern:
Bandbreitengrenze und Burstunterstützung: Per Bandbreitenmindestwert wird sichergestellt, dass immer eine bestimmte Menge an Bandbreite reserviert ist. Die maximale Bandbreite begrenzt die Bandbreite, die ein virtueller Computer belegen kann.
Unterstützung für Explicit Congestion Notification (ECN)-Kennzeichnung: Mithilfe der ECN-Kennzeichnung – auch als Data Center TCP (DCTCP) bezeichnet – können der physische Switch und das Betriebssystem den Fluss des Datenverkehrs so regulieren, dass die Pufferressourcen des Switches nicht überflutet werden. Dies führt zu einem höheren Durchsatz beim Datenverkehr.
Diagnose: Die Diagnose ermöglicht die einfache Ablaufverfolgung und Überwachung von Ereignissen und Paketen über den virtuellen Switch.
Virtueller Hyper-V-Switch
Die Features des virtuellen Hyper-V-Switches, die im vorherigen Abschnitt mit dem Titel Wichtige Funktionalität beschrieben wurden, ermöglichen Administratoren die Konfiguration von Sicherheits- und Isolationsoptionen sowie neue Arten der Überwachung von Datenverkehr. Durch die Erweiterbarkeit des Switches können unabhängige Softwareanbieter eine zusätzliche Anpassungsebene anbieten.
Welchen Nutzen bietet diese Änderung?
Der vermehrte Einsatz der Virtualisierung, der in letzter Zeit zu beobachten war, hat dazu geführt, dass viele Hostingfirmen virtuelle Computer für mehrere Clients auf einem Computer platzieren. Dies erhöht die Notwendigkeit von Isolations- und Schutzlösungen.Windows Server 2008 R2 bietet zwar standardmäßigen Schutz vor MAC-Spoofing, aber Serverversionen bis Windows Server 2008 R2 können für den Datenverkehr virtualisierter Netzwerke nur minimalen Schutz leisten. Unter Windows Server® 2012 ist Datenverkehr zwischen virtuellen Computern auf demselben physischen Hostcomputer besser geschützt, da Verbesserungen in Bezug auf den Schutz vor schädlichen virtuellen Computern vorgenommen wurden.
Unter Windows Server® 2012 bietet der neue virtuelle Hyper-V-Switch mehr Sicherheit, z. B. mithilfe von Funktionen, die Kunden das direkte Überwachen und Verschieben von Datenverkehr über den Switch ermöglichen. Darüber hinaus unterstützt der virtuelle Hyper-V-Switch eine Schnittstelle, in der unabhängige Softwareanbieter die Switch-Funktionalität erweitern können.
Hardwareanforderungen
Der virtuelle Hyper-V-Switch erfordert einen 64-Bit-Prozessor, der Folgendes beinhaltet:
Produktdatenträger oder -dateien für Windows Server® 2012
Physischer Computer zum Hosten von Windows Server® 2012
Hardwareunterstützte Virtualisierung. Diese ist für Prozessoren mit Virtualisierungsoption verfügbar, insbesondere für Prozessoren mit Intel VT (Intel Virtualization Technology)- oder AMD-V (AMD Virtualization)-Technologie.
Von der Hardware erzwungene Datenausführungsverhinderung (DEP) muss verfügbar und aktiviert sein. Sie müssen insbesondere Intel XD-Bit oder AMD NX aktivieren.
Siehe auch
Im Folgenden finden Sie eine Liste der Ressourcen, die sich auf den virtuellen Hyper-V-Switch beziehen.
Inhaltstyp |
Referenzen |
|---|---|
Produktbewertung |
Understand and Troubleshoot Hyper-V Virtual Network Switch in Windows Server® 2012 |
Entwicklerressourcen |
|
Communityressourcen |
Microsoft Server und Cloud-Plattform (Blog): Windows Server 2012: Einführung in den erweiterbaren Switch für Hyper-V | Blog von Virtual PC Guy: Erweiterbarer Switch für Hyper-V in Windows Server 2012 | Windows Lifestyle: Erweiterbarer Switch für Hyper-V in Windows Server 2012 |
Verwandte Technologien |
Verwandte Dokumentation
Übersicht über Hyper-V in Windows Server 2012
Hyper-V in Windows Server 2008 und Windows Server 2008 R2 in der technischen Bibliothek bei TechNet
Entwicklerressourcen für Hyper-V Extensible Switch in der MSDN Library (Microsoft Developer Network)
Geschützte 802.3 Ethernet-Verbindungen mithilfe von Switch-basiertem authentifiziertem kabelgebundenen 802.1X-Zugriff