Markieren Sie das Kontrollkästchen Englisch, um die englische Version dieses Artikels anzuzeigen. Sie können den englischen Text auch in einem Popup-Fenster einblenden, indem Sie den Mauszeiger über den Text bewegen.
Übersetzung
Englisch

Neuerungen beim virtuellen Hyper-V-Switch unter Windows Server 2012 R2

 

Betrifft: Windows Server 2012 R2, Windows Server 2012

Unter Windows Server® 2012 bietet der virtuelle Hyper-V-Switch neue Features für eine bessere Verwaltung, Sicherheit, Isolation, Transparenz und Skalierbarkeit, um eine effektivere Hyper-V-Bereitstellung an Ihrem lokalen Standort oder in Ihren privaten, Hybrid- oder öffentlichen Cloudumgebungen zu ermöglichen.

Nachstehend werden die wichtigsten neuen Features für den virtuellen Hyper-V-Switch vorgestellt.

Sie können nun (manuell oder in Skripts ausgeführte) Windows PowerShell-Befehle zum Konfigurieren des virtuellen Hyper-V-Switches und dazugehöriger Features verwenden.

Die PowerShell-Syntax besteht im Wesentlichen aus englischen <Verb>-<Nomen>-Paaren. Der folgende Befehl zeigt z. B. alle virtuellen Hyper-V-Switches, die auf Ihrem Server konfiguriert sind.

Get-VMSwitch

Es folgen die Windows PowerShell-Nomen, die für den virtuellen Hyper-V-Switch bereit stehen:

VMNetworkAdapter VMNetworkAdapterAcl VMNetworkAdapterVlan VMSwitch

"VMNetworkAdapter" enthält die folgenden Elemente:

  • Die virtuelle Netzwerkkarte (NIC) im virtuellen Computer (VM)

  • Den Port des virtuellen Hyper-V-Switches

"VMNetworkAdapter" ist das primäre Nomen, das Sie zum Verwalten von verschiedenen Sicherheitsfunktionen, Quality of Service (QoS, Dienstqualität), Portspiegelung und anderen Elementen verwenden können. Geben Sie zum Abrufen weiterer Informationen zu diesen Features Folgendes in Windows PowerShell ein, und drücken Sie dann die EINGABETASTE:

Get-Help Set-VMNetworkAdapter

Um alle Windows PowerShell-Verben für "VMNetworkAdapter" anzuzeigen, geben Sie den folgenden Befehl in Windows PowerShell ein, und drücken Sie dann die EINGABETASTE:

Get-Help *-VMNetworkAdapter

Um den aktuellen Status von "VMNetworkAdapter" anzuzeigen, geben Sie den folgenden Befehl in Windows PowerShell ein, und drücken Sie dann die EINGABETASTE:

Get-VMNetworkAdapter –VMName MyVM | format-list *

Es folgen die Windows PowerShell-Befehle, die Sie verwenden können, um den virtuellen Switch und virtuelle Netzwerkadapter zu konfigurieren. Eine vollständige Befehlsreferenz für diese und andere Windows PowerShell-Cmdlets für Hyper-V einschließlich Syntax und Beispielen finden Sie unter Hyper-V-Cmdlets in Windows PowerShell.

Add-VMNetworkAdapter Add-VMNetworkAdapterAcl Add-VMSwitch Add-VMSwitchExtensionPortFeature Add-VMSwitchExtensionSwitchFeature Connect-VMNetworkAdapter Disable-VMSwitchExtension Enable-VMSwitchExtension Get-VMNetworkAdapter Get-VMNetworkAdapterAcl Get-VMNetworkAdapterFailoverConfiguration Get-VMNetworkAdapterVlan Get-VMSwitch Get-VMSwitchExtension Get-VMSwitchExtensionPortData Get-VMSwitchExtensionPortFeature Get-VMSwitchExtensionSwitchData Get-VMSwitchExtensionSwitchFeature Get-VMSystemSwitchExtension

Get-VMSystemSwitchExtensionPortFeature Get-VMSystemSwitchExtensionSwitchFeature New-VMSwitch Remove-VMNetworkAdapter Remove-VMNetworkAdapterAcl Remove-VMSwitch Remove-VMSwitchExtensionPortFeature Remove-VMSwitchExtensionSwitchFeature Rename-VMNetworkAdapter Rename-VMSwitch Set-VMNetworkAdapter Set-VMNetworkAdapterFailoverConfiguration Set-VMNetworkAdapterVlan Set-VMSwitch Set-VMSwitchExtensionPortFeature Set-VMSwitchExtensionSwitchFeature
System_CAPS_noteHinweis

Wenn Sie Windows PowerShell-Befehle auf physische NICs anwenden, verwenden Sie die "NetAdapter"-Gruppe von Cmdlets. Wenn Sie Windows PowerShell-Befehle auf virtuelle NICs anwenden möchten, verwenden Sie die "VMNetworkAdapter"-Cmdlets. Wenn Sie nur eine einzelne NIC oder eine Gruppe von NICs haben, die an den virtuellen Hyper-V-Switch gebunden ist, können Sie auch mehrere übergeordnete virtuelle NICs verwenden.

In früheren Versionen von Hyper-V wurde nur eine übergeordnete virtuelle NIC unterstützt. In Windows Server 2012 Hyper-V werden jedoch mehrere NICs unterstützt. Darüber hinaus können Sie die physische NIC, die an den Hyper-V-Switch gebunden ist, für das Verwaltungsbetriebssystem freigeben.

System_CAPS_tipTipp

Um diese Funktion zu aktivieren, öffnen Sie Hyper-V-Manager. Klicken Sie im Bereich Aktion auf Manager für virtuelle Switches. Wählen Sie im Manager für virtuelle Switches einen Switch aus. Wählen Sie im Detailbereich für den Switch, der nachstehend dargestellt ist, Gemeinsames Verwenden dieses Netzwerkadapters für das Verwaltungsbetriebssystem zulassen.

Properties for a Virtual Switch

 

Sie können mehrere übergeordnete virtuelle NICs erstellen, die Sie für die Migration bei laufendem System, Speicherung und Verwaltung nutzen können. Außerdem können Sie jede virtuelle NIC einem anderen virtuellen LAN (VLAN) zuweisen. Sie können auch verschiedene QoS-Richtlinien (Quality of Service, Dienstqualität) für jede virtuelle NIC erstellen.

Nachstehend ist eine Konfiguration mit mehreren NICs dargestellt:

Virtual NICS and Virtual Switch

 

Um die virtuellen NICs für das Verwaltungsbetriebssystem zu erstellen, geben Sie die folgenden Befehle an der Windows PowerShell-Eingabeaufforderung ein, und drücken Sie dann die EINGABETASTE:

Add-VMNetworkAdapter –ManagementOS –Name Management Add-VMNetworkAdapter –ManagementOS –Name Storage Add-VMNetworkAdapter –ManagementOS –Name “Live Migration”

Der virtuelle Hyper-V-Switch bietet unter Windows Server 2012 die folgenden neuen Sicherheitsfeatures.

Die meisten dieser Features bieten die Möglichkeit, die Typen der Pakete anzugeben, die zugelassen oder blockiert werden sollen, wenn diese von den virtuellen Computern gesendet oder empfangen werden, die mit dem virtuellen Switch verbunden sind. Die folgenden Abschnitte bieten weitere Informationen.

Eine Port-ACL ist eine Regel, die auf einen Hyper-V-Switchport angewendet werden kann. Die Regel gibt an, ob ein Paket auf dem Weg in einen oder aus einem virtuellen Computer zugelassen oder verweigert wird. ACLs haben drei Elemente mit der folgenden Struktur: Lokale oder Remoteadresse | Richtung | Aktion.

Sie können in Lokale oder Remoteadresse entweder eine lokale Adresse oder eine Remoteadresse, aber nicht beides angeben. Der Wert, den Sie für Lokale oder Remoteadresse angeben, kann eine IPv4-, IPv6- oder MAC-Adresse (Media Access Control) sein. Optional können Sie einen IP-Adressbereich verwenden, wenn Sie das Bereichspräfix angeben.

Sie können für einen Hyper-V-Switchport mehrere Port-ACLs konfigurieren. Während des Betriebs dient die Port-ACL, mit deren Regeln die ein- und ausgehenden Pakete übereinstimmen, zum Bestimmen, ob das Paket zugelassen oder verweigert wird.

Um z. B. die einem Port zugewiesene virtuelle NIC so zu konfigurieren, dass stets entweder eine bestimmte MAC- oder Broadcastadresse verwendet wird, können Sie Regeln wie die folgenden konfigurieren:

Lokale oder Remoteadresse

Direction

Action

12-34-56-78-9A-BC

Inbound

Allow

12-34-56-78-9A-BC

Outbound

Allow

FF-FF-FF-FF-FF-FF

Inbound

Allow

beliebig

Inbound

Deny

beliebig

Outbound

Deny

In diesem Beispiel ist Any ein Platzhalter. Beachten Sie, dass ACLs anhand des längsten Präfixes ausgewertet werden, mit dem es eine Übereinstimmung gibt. Aus diesem Grund hat die MAC-Adresse 12-34-56-78-9A-BC mit der Regel Zulassen Vorrang vor der Platzhalterregel mit der Adresse Any.

Bidirektionale Port-ACLs

In vielen Fällen sollen Sie die gleichen Berechtigungen für den eingehenden und ausgehenden Datenverkehr in den gleichen Port-ACLs gelten. Sie möchten z. B. ein- und ausgehenden Datenverkehr zulassen oder ein- und ausgehenden Datenverkehr verweigern.

Aus diesem Grund gibt es bidirektionale Port-ACLs. Diese ACL-Einträge verringern den administrativen Aufwand, indem Sie mithilfe eines Eintrags in der Port-ACL ein- ausgehende Berechtigungen konfigurieren können. Sie erreichen dieselbe Wirkung wie im ersten Beispiel, indem Sie bidirektionale Port-ACLs auf folgende Weise nutzen:

Lokale oder Remoteadresse

Direction

Action

12-34-56-78-9A-BC

Both

Allow

FF-FF-FF-FF-FF-FF

Inbound

Allow

beliebig

Both

Deny

Die folgenden Befehle demonstrieren, wie Sie diese Konfiguration mithilfe von Windows PowerShell erstellen können:

Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress 12-34-56-78-9A-–Direction Both –Action Allow Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress FF-FF-FF-FF-FF-FF  –Direction InBound –Action Allow Add-VMNetworkAdapterAcl  -VMName MyVM –LocalMacAddress Any  –Direction Both –Action Deny

Die oben genannten Beispiele beziehen sich auf ACLs, die mithilfe der lokalen Adresse definiert sind. Sie können auch die ACLs definieren, die sich auf die Remoteadresse beziehen. Dies ist nützlich für das Blockieren einer bestimmten Adresse mithilfe einer Remoteadresse mit der Aktion "Deny".

Messport-ACLs

Mit Messport-ACLs können Sie messen, wie viel Datenverkehr von der virtuellen NIC von bzw. an einen angegebenen Adressbereich gesendet wird.

Die folgende Messport-ACL misst z. B. den Datenverkehr, der vom virtuellen Computer namens "MyVM" an das IPv4-Subnetz "192.168.0.0/16" gesendet wird.

Add-VMNetworkAdapterAcl –VMName MyVM –RemoteIPAddress 192.168.0.0/16 –Direction Outbound –Action Meter

"MacAddressSpoofing" dient zum Angeben, ob ein virtueller Computer seine MAC-Quelladresse für ausgehende Pakete ändern darf.

Wenn Sie einen virtuellen Computer haben, für den Sie MacAddressSpoofing zulassen möchten, können Sie dies mit dem folgenden Cmdlet aktivieren.

Set-VMNetworkAdapter –VMName MyVM –MacAddressSpoofing On

Für alle anderen VMs können Sie die Fähigkeit zum Fälschen von MAC-Adressen mit dem folgenden Cmdlet blockieren.

Set-VMNetworkAdapter –VMName CustomerVM –MacAddressSpoofing Off

Weitere Informationen finden Sie unter Set-VMNetworkAdapter.

"RouterGuard" dient zum Angeben, ob die Routerankündigungen und Umleitungsnachrichten von nicht autorisierten virtuellen Computern gelöscht werden sollen.

Wenn Sie einen virtuellen Computer haben, für den Sie Routerankündigungen und Umleitungsnachrichten von nicht autorisierten VMs zulassen möchten, können Sie das folgende Cmdlet verwenden.

Set-VMNetworkAdapter –VMName MyVM –RouterGuard Off

Für alle anderen VMs können Sie Routerankündigungen und Umleitungsnachrichten von nicht autorisierten VMs mit dem folgenden Cmdlet blockieren.

Set-VMNetworkAdapter –VMName CustomerVM –RouterGuard On

Weitere Informationen finden Sie unter Set-VMNetworkAdapter.

Mit "DHCPGuard" können Sie angeben, ob von einem virtuellen Computer stammende DHCP-Servernachrichten gelöscht werden sollen. Für virtuelle Computer, auf denen eine autorisierte Instanz der DHCP-Serverrolle ausgeführt wird, können Sie "DHCPGuard" mit dem folgenden Cmdlet deaktivieren:

Set-VMNetworkAdapter –VMName MyDhcpServer1 –DhcpGuard Off

Für alle anderen virtuellen Computer, die keine autorisierten DHCP-Server sind, können Sie verhindern, dass diese nicht autorisierte DHCP-Server werden, indem Sie "DHCPGuard" mit dem folgenden Cmdlet aktivieren:

Set-VMNetworkAdapter –VMName CustomerVM –DhcpGuard On

Viele Verschlüsselungsalgorithmen sind verarbeitungsintensiv und können deshalb die Leistung von VMs ausbremsen. Der virtuelle Hyper-V-Switch bietet VMs jetzt die Möglichkeit, "IPsecTO" zu verwenden, was der VM ermöglicht, Verschlüsselungsprozesse an die NIC auszulagern. Das Auslagern der paketbezogenen Verschlüsselungsvorgänge vom virtuellen Computer zur NIC bringt wesentliche Einsparungen bei der CPU-Auslastung.

IPsec umfasst eine Sicherheitszuordnung, mit deren Hilfe die Verschlüsselung erfolgt. Wenn Sie IPsecTO aktivieren, verlagert die VM die Verarbeitung der Sicherheitszuordnung an die NIC. IPsecTO-fähige NICs haben eine begrenzte Anzahl von Sicherheitszuordnungen, die ausgelagert werden können. Mit Windows PowerShell können Sie die Anzahl von Sicherheitszuordnungen festlegen, die die VM an die NIC auslagern kann. Um die Anzahl der Sicherheitszuordnungen zu verwalten, die von einem virtuellen Computer ausgelagert werden kann, können Sie das folgende Cmdlet verwenden.

Set-VMNetworkAdapter –VMName MyVM -IPsecOffloadMaximumSecurityAssociation 200

Dieses Cmdlet beschränkt die Anzahl der Sicherheitszuordnungen, die vom virtuellen Computer mit dem Namen "MyVM" ausgelagert werden kann, auf 200. Nachdem der Grenzwert erreicht wird, verwaltet der Windows-Netzwerkstapel auf dem virtuellen Computer die Sicherheitszuordnungen so intelligent, dass weitere aktive Sicherheitszuordnungen verlagert werden, während weniger aktive Sicherheitszuordnungen hochgeladen und vom virtuellen Computer ausgeführt werden.

Anforderungen für die Verwendung von IPsecTO

Es folgen Anforderungen für die Verwendung von IPsecTO.

  • Nur virtuelle Computer unter Windows Server® 2008 R2 und Windows Server 2012 werden unterstützt, da der VM-Netzwerkstapel IPsecTO unterstützen muss.

  • Die physische NIC muss auch IPsecTO unterstützen.

Die Netzwerkisolation steht in Zusammenhang mit der Sicherheit, doch im Gegensatz zu IPsec, das den Netzwerkdatenverkehr verschlüsselt, dient die Isolation zur logischen Segmentierung des Datenverkehrs.

VLANs werden jedoch durch Skalierbarkeitsprobleme beeinträchtigt. Eine VLAN-ID ist eine 12-Bit-Zahl, und VLANs liegen im Bereich von 1 bis 4095. Wenn Sie in einem mehrinstanzenfähigen Datencenter jeden Mandanten mithilfe eines VLANs isolieren möchten, ist die Konfiguration komplex und schwierig. Diese Skalierbarkeitsprobleme von VLANs werden gelöst, indem Sie die Sie Hyper-V-Netzwerkvirtualisierung bereitstellen, bei der jeder Mandant mehrere virtuelle Subnetze hat. Doch eine einfache Lösung, bei der jeder Mandant nur einen einzelnen virtuellen Computer hat, ist das Verwenden von PVLAN.

PVLAN löst einige der Skalierbarkeitsprobleme von VLANs. PVLAN ist eine Switchporteigenschaft. PVLAN bietet zwei VLAN-IDs: eine primäre VLAN-ID und eine sekundäre VLAN-ID. Ein PVLAN kann sich in einem von drei Modi befinden.

PVLAN-Modus

Beschreibung

Isolated

Kommuniziert nur mit Ports vom Typ "Promiscuous" im PVLAN

Promiscuous

Kommuniziert mit allen Ports im PVLAN

Community

Kommuniziert mit Ports in derselben Community und allen Ports vom Typ "Promiscuous" im PVLAN

Ein PVLAN kann zum Erstellen einer Umgebung verwendet werden, in der virtuelle Computer nur mit dem Internet interagieren können. Der Netzwerkdatenverkehr anderer virtueller Computer ist nicht sichtbar. Um dies zu erreichen, legen Sie alle VMs (tatsächlich ihre Hyper-V-Switchports) im selben PVLAN im isolierten Modus ab. Somit werden bei Verwenden von nur zwei VLAN-IDs (einer primären und einer sekundären) alle VMs voneinander isoliert. Das folgende PowerShell-Skript versetzt den Switchport einer VM in den isolierten PVLAN-Modus.

Set-VMNetworkAdapterVlan –VMName MyVM –Isolated –PrimaryVlanId 10 –SecondaryVlanId 200
System_CAPS_importantWichtig

Bei Verwenden eines beliebigen Hyper-V-VLAN-Features müssen die physischen Switches auch ordnungsgemäß mit den entsprechenden VLAN-IDs konfiguriert werden.

Trunkmodus

Zusätzlich zu PVLAN bietet der virtuelle Hyper-V-Switch auch Unterstützung für den VLAN-Trunkmodus. Der Trunkmodus bietet Netzwerkdiensten oder Netzwerkgeräten in einer VM die Möglichkeit, Datenverkehr mehrerer VLANs anzuzeigen.

Im Trunkmodus empfängt ein Switchport Datenverkehr von allen VLANs, die Sie in einer Liste mit zulässigen VLANs konfigurieren. Sie können auch einen Switchport, der mit einer VM verbunden, aber nicht an die zugrunde liegenden NIC gebunden ist, für den Trunkmodus konfigurieren.

Im folgenden Beispiel-Cmdlet kann "MyVM" Datenverkehr mit allen VLANs in der Zulassungsliste austauschen, d.h. senden und empfangen. Wenn im Paket kein VLAN festgelegt ist, wird es wie ein Paket aus VLAN 10 behandelt.

Set-VMNetworkAdapterVlan –VMName MyVM –Trunk –AllowedVlanIdList 1-100 –NativeVlanId 10

Bei der Portspiegelung wird von oder an einen virtuellen Hyper-V-Switch gesendeter Datenverkehr kopiert und an einen Spiegelport gesendet. Es gibt eine Reihe von Anwendungen für die Portspiegelung, denn es gibt eine Vielzahl von Anbietern von Produkten für Netzwerktransparenz, die Portspiegelungsdaten für das Leistungsmanagement, Sicherheitsanalysen und die Netzwerkdiagnose nutzen. Mithilfe der Portspiegelung des virtuellen Hyper-V-Switches können Sie die Switchports, die überwacht werden, und die Switchports auswählen, die Kopien des gesamten Datenverkehrs empfangen.

In den folgenden Beispielen wird die Portspiegelung so konfiguriert, dass der von "MyVM" und "MyVM2" gesendete und empfangene Datenverkehr auch an die VM "MonitorVM" gesendet wird.

Set-VMNetworkAdapter –VMName MyVM –PortMirroring Source Set-VMNetworkAdapter –VMName MyVM2 –PortMirroring Source Set-VMNetworkAdapter –VMName MonitorVM –PortMirroring Destination

In Netzwerken ist es wichtig, die Umstände zu beseitigen, durch die Netzwerkdatenverkehr blockiert oder verlangsamt und somit Latenz verursacht wird.

Bei systemeigenem Datenverkehr verarbeitet RSS (Receive Side Scaling) eingehenden Netzwerkdatenverkehr so, dass dieser nicht von einer einzigen CPU verlangsamt wird. RSS verarbeitet IP-Quell- und Zielfelder sowie TCP-Quell- und Zielports, um den empfangenen Datenverkehr auf mehrere CPU-Kerne zu verteilen.

Für empfangenen Datenverkehr, der extern vom Server stammt und in den virtuellen Hyper-V-Switch gelangt, führt dVMQ (Dynamic Virtual Machine Queue) eine RSS ähnliche Aufgabe aus. Bei dVMQ wird die MAC-Zieladresse gehasht, um den an eine virtuelle Netzwerkkarte gerichteten Datenverkehr in einer bestimmten Warteschlange abzulegen. Die Interrupts für die CPU-Kerne werden ebenfalls verteilt, um das Ausbremsen durch eine einzelne CPU zu vermeiden. Wenn Ihre virtuellen Computer auf einem virtuellen Hyper-V-Switch viel externen Netzwerkverkehr empfangen, empfiehlt es sich, dVMQ zu verwenden.

dVMQ umfasst auch einen dynamischen Lastenausgleich. Zuvor erfolgte das MAC-Hashing statisch, und es war schwierig, dVMQ zu verwalten. Die Verwaltung von dVMQ ist nun einfach, da das Feature standardmäßig aktiviert ist und keine anderen Verwaltungsschritte erforderlich sind.

Wenn Sie aus irgendeinem Grund dVMQ deaktiviert haben, können Sie es mit dem folgenden Cmdlet erneut aktivieren. Die Netzwerkkarte in diesem Beispiel ist eine physische Netzwerkkarte, die an den virtuellen Switch gebunden ist und "GuestTrafficNic" heißt.

Enable-NetAdapterVmq GuestTrafficNic

Weitere Informationen finden Sie unter Enable-NetAdapterVmq.

Anzeigen: