Hyper-V 虚拟交换机概述
适用对象:Windows Server 2012 R2, Windows Server 2012, Windows 8
本主题介绍了 Windows Server 2012 中的 Hyper-V 虚拟交换机。 本主题还列出了 Hyper-V 虚拟交换机、硬件和软件要求的实际使用,并提供了指向额外信息的链接。
备注
除了本主题,以下 Hyper-V 虚拟交换机文档也可用。
Hyper-V 虚拟交换机
Hyper-V 虚拟交换机是基于软件的第 2 层以太网网络交换机,当安装 Hyper-V 服务器角色时 Hyper-V 管理器中提供了该交换机。 交换机包括以编程方式管理的功能和扩展功能,可将虚拟机同时连接到虚拟网络和物理网络。 此外,Hyper-V 虚拟交换机提供了安全、隔离和服务级别的策略执行。
重要
HYPER-V 虚拟交换机仅支持以太网,不支持其他任何有线局域网 (LAN) 技术(如 Infiniband 和光纤通道)。
Windows Server® 2012 中的 Hyper-V 虚拟交换机引入了一些新功能和增强能力,用于租户隔离、流量整形、恶意虚拟机防护、以及简化的故障排除。
利用内置的网络设备接口规范 (NDIS) 筛选筛选器驱动程序以及 Windows 筛选平台 (WFP) 标注驱动程序支持,Hyper-V 虚拟交换机使独立软件供应商 (ISV) 可以创建可扩展的插件(称为虚拟交换机扩展)以提供增强的网络和安全能力。 你添加到 Hyper-V 虚拟交换机的虚拟交换机扩展列在 Hyper-V 管理器的虚拟交换机管理器功能中。
在以下图示中,虚拟机 (VM) 具备一个通过交换机端口连接到 Hyper-V 虚拟交换机的虚拟 NIC。
.jpeg "Hyper-V 虚拟交换机概述")
Hyper-V 虚拟交换机提供的能力意味着组织在执行租户隔离、整形和控制网络流量、采取针对恶意虚拟机的防护措施方面拥有更多的选择。
实际的应用程序
**显示统计:**受托管云提供商上的开发者实现了显示 Hyper-V 虚拟交换机当前状态的管理程序包。 该管理程序包可以使用 WMI 来查询交换机范围的当前能力、配置设置和单个端口网络统计。 然后会显示交换机的状态,为管理员提供交换机状态的快速视图。
**资源追踪:**托管公司根据成员级别销售托管服务。 各种成员级别包括不同的网络性能级别。 管理员以平衡网络可用性的方式分配资源,以符合服务级别协议 (SLA)。 管理员使用程序追踪当前已分配带宽的使用以及虚拟机 (VM) 的数量 — 已分配的虚拟机队列 (VMQ) 或 IOV 通道等信息。 除了为了进行复式记帐追踪或资源而分配的 VM 资源,同一个程序还周期性地记录使用中的资源。
**管理交换机扩展的顺序:**一家企业已经在他们的 Hyper-V 主机上安装了扩展,用于监控流量和报告入侵。 在维护时,某些扩展可能被更新了,导致扩展的顺序变更。 运行了一个简单的脚本程序来记录更新后的扩展。
**转发扩展管理 VLAN ID:**一个主要交换机公司正在建立应用所有网络策略的转发扩展。 受管理的一个元素是虚拟局域网 (VLAN) ID。 虚拟交换机将 VLAN 的控制移交给转发扩展。 交换机公司的安装采用编程方式调用 Windows Management Instrumentation (WMI) 应用程序编程接口 (API),该接口启用透明度,通知 Hyper-V 虚拟交换机通过并且对 VLAN 标记不采取任何操作。
重要功能
Hyper-V 虚拟交换机包含的主要功能包括:
**ARP/ND 病毒(欺骗)防护:**针对使用地址解析协议 (ARP) 欺诈来窃取其他 VM 的 IP 地址的恶意 VM 提供防护。 针对使用邻居发现 (ND) 欺诈的 IPv6 进行的攻击提供防护。
**DHCP 警卫保护:**针对伪装成动态主机配置协议 (DHCP) 服务器以进行中间人攻击的 VM 提供防护。
**端口 ACL:**提供基于媒体访问控制 (MAC) 或互联网协议 (IP) 地址/范围的流量过滤,让你可以设置虚拟网隔离。
**对于 VM 的 Trunk 模式:**使管理员可以将特定的 VM 设置为虚拟工具,然后将来自各种 VLAN 的流量引导至该 VM。
**网络流量监控:**使管理员可以查看遍历网络交换机的流量。
**隔离的(私有)VLAN:**使管理员可以隔离多个 VLAN 的流量,以更方便地建立隔离的租户社区。
以下是能够增强 Hyper-V 虚拟交换机可用性的一系列功能:
**带宽限制和迸发支持:**最低带宽确保预留的带宽。 最大带宽超过一个 VM 能够消耗的带宽。
**ECN 标记支持:**显式拥塞通知 (ECN) 标记(也称为数据中心 TCP (DCTCP))使物理交换机和操作系统可以调节流量,以防止交换机缓存资源溢出,从而可以提高流量吞吐量。
诊断: 使用诊断让事件和通过虚拟交换机的数据包的追踪和监控更加方便。
Hyper-V 虚拟交换机
在本主题之前的重要功能部分中描述的 Hyper-V 虚拟交换机功能使管理员可以配置安全和隔离选项,并且使用以前未提供的方法进行流量监控。 交换机的可扩展性使 ISV 可以提供额外的自定义层。
这一更改增添了什么价值?
最近对于虚拟化的利用的增加导致了许多托管公司的将多个客户端的 VM 放在同一台计算机上,从而使隔离和保护的需求增加。Windows Server 2008 R2 确实提供了针对 MAC 欺诈的默认防护,通过 Windows Server 2008 R2 的服务器版本只是为虚拟网络流量提供最低的安全防护。 在 Windows Server® 2012 中,流过位于同一个物理主机计算机上的 VM 的流量更为安全,得益于对恶意虚拟机的防护。
在 Windows Server® 2012 中,新型的 Hyper-V 虚拟交换机提供更多的安全,包括可以让客户方便地监控和通过交换机移动流量的功能。 另外,Hyper-V 虚拟交换机支持 ISV 可以扩展交换机功能的接口。
硬件要求
Hyper-V 虚拟交换机需要使用 64 位的处理器,包含以下:
产品磁盘或 Windows Server® 2012 的文件
托管 Windows Server® 2012 的物理计算机
硬件协助的虚拟化。 在提供虚拟化选项的处理器上,可以进行硬件协助的虚拟化 — 特别是具有 Intel 虚拟化技术 (Intel VT) 或 AMD 虚拟化 (AMD-V) 技术的处理器。
硬件强制实施的数据执行保护 (DEP) 必须可用且已启用。 特别是你必须启用 Intel XD bit 或 AMD NX。
另请参阅
以下是与 Hyper-V 虚拟交换机相关的资源列表。
内容类型 |
参考 |
|---|---|
产品评估 |
了解 Hyper-V 虚拟网络交换机并进行故障排除(在 Windows Server® 2012 中) |
开发人员资源 |
MSDN: Hyper-V 可扩展交换机 |
社区资源 |
Microsoft 服务器和云平台博客:Windows Server 2012:介绍 Hyper-V 可扩展交换机 | Virtual PC Guy 博客:Windows Server 2012 中的Hyper-V 可扩展交换机 | Windows Lifestyle:Windows Server 2012 中的Hyper-V 可扩展交换机 |
相关技术 |
相关文档
Windows Server 2012 中的 Hyper-V 概述
TechNet 上的 Windows Server 2008 和 Windows Server 2008 R2 技术库中的 Hyper-V
Microsoft Developer Network (MSDN) 库中关于 Hyper-V 可扩展交换机的开发人员资源
使用基于交换机的 802.1X 身份验证有线访问 的受保护 802.3 以太网连接