Vue d’ensemble du commutateur virtuel Hyper-V

 

S’applique à : Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="http://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="fr-FR">Cette rubrique décrit le commutateur virtuel Hyper-V disponible dans Windows Server 2012. Cette rubrique répertorie également quelques usages pratiques du commutateur virtuel Hyper-V, les configurations minimales matérielle et logicielle requises, et propose des liens vers des informations complémentaires.Outre cette rubrique, la documentation suivante du commutateur virtuel Hyper-V est également disponible.What's New in Hyper-V Virtual Switch for Windows Server 2012 R2 What's New in Hyper-V Virtual Switch for Windows Server 2012 Create Security Policies with Extended Port Access Control Lists for Windows Server 2012 R2 Hyper-V : Configurer des réseaux locaux virtuels et le balisage VLANhttp://social.technet.microsoft.com/wiki/contents/articles/1306.hyper-v-configure-vlans-and-vlan-tagging.aspxHyper-V : L’extension de commutateur virtuel WFP doit être activée si elle est requise par les extensions tierceshttp://social.technet.microsoft.com/wiki/contents/articles/13071.hyper-v-the-wfp-virtual-switch-extension-should-be-enabled-if-it-is-required-by-third-party-extensions.aspxCréer des réseaux avec VMM 2012http://social.technet.microsoft.com/wiki/contents/articles/3140.create-networks-with-vmm-2012.aspxUnified Tracing Commutateur virtuel Hyper-VLe commutateur virtuel Hyper-V désigne un commutateur réseau Ethernet de couche 2 logiciel disponible dans le Gestionnaire Hyper-V lorsque vous installez le rôle serveur Hyper-V. Le commutateur offre des fonctionnalités gérées par programme et extensibles pour connecter des machines virtuelles aux réseaux virtuels et au réseau physique à la fois. Qui plus est, le commutateur virtuel Hyper-V assure l’application de la stratégie de sécurité et d’isolement, ainsi que des niveaux de service.Le commutateur virtuel Hyper-V ne prend en charge qu’Ethernet et pas les autres technologies de réseau local (LAN) câblé, comme Infiniband et Fibre Channel.Dans Windows Server® 2012, le commutateur virtuel Hyper-V introduit plusieurs fonctionnalités nouvelles et améliorées pour l’isolation des locataires, la mise en forme du trafic, la protection contre les ordinateurs virtuels malveillants et la résolution simplifiée des problèmes.Grâce à sa prise en charge intégrée des pilotes de filtre de l’API NDIS (Network Device Interface Specification) et des pilotes de légende WFP (Windows Filtering Platform), le commutateur virtuel Hyper-V permet aux éditeurs de logiciels indépendants de créer des plug-ins extensibles (appelés « extensions de commutateur virtuel ») pouvant offrir une mise en réseau et des fonctions de sécurité améliorées. Les extensions de commutateur virtuel que vous ajoutez au commutateur virtuel Hyper-V sont répertoriées dans la fonctionnalité Gestionnaire de commutateur virtuel du Gestionnaire Hyper-V.L’illustration qui suit dévoile un ordinateur virtuel doté d’une carte réseau virtuelle connecté au commutateur virtuel Hyper-V via un port commuté. Les fonctionnalités que le commutateur virtuel Hyper-V propose offrent un plus grand nombre d’options aux organisations pour l’application de l’isolement des locataires, la mise en forme et le contrôle du trafic réseau, ainsi que l’emploi de mesures de protection contre les ordinateurs virtuels malveillants.Cas pratiquesAffichage de statistiques : un développeur chez un fournisseur de solutions de cloud hébergées implémente un package de gestion qui affiche l’état du commutateur virtuel Hyper-V. Le package de gestion peut demander les statistiques sur les fonctionnalités actuelles, les paramètres de configuration et des ports spécifiques sur tout le commutateur à l’aide de WMI. L’état du commutateur est ensuite affiché pour offrir aux administrateurs une vue d’ensemble.Suivi des ressources : un fournisseur d’hébergement propose des services facturés en fonction de l’abonnement souscrit. Les différents niveaux d’abonnement offrent plusieurs niveaux de performance réseau. L’administrateur attribue des ressources pour respecter les contrats SLA de sorte que la disponibilité du réseau soit équilibrée. L’administrateur effectue le suivi par programme des informations, telles que l’usage en cours de la bande passante affectée et le nombre d’ordinateurs virtuels, que ce soit les files d’attente d’ordinateurs virtuels (VMQ) ou les canaux IOV. Le même programme enregistre en outre périodiquement les ressources utilisées en plus de celles assignées par ordinateur virtuel pour le suivi à double entrée ou pour les ressources.Gestion de l’ordre des extensions du commutateur : une entreprise a installé des extensions sur leur hôte Hyper-V pour contrôler le trafic et signaler la détection d’intrusions. Lors de la maintenance, des extensions peuvent être mises à jour ce qui est susceptible de modifier l’ordre des extensions. Un simple script est exécuté pour rétablir l’ordre des extensions après leur mise à jour.Extension de transfert gérant l’ID du réseau local virtuel : une société importante spécialisée dans la commutation met au point une extension de transfert qui applique toutes les stratégies de mise en réseau. Un des éléments gérés correspond aux ID de réseau local virtuel. Le commutateur virtuel cède le contrôle du réseau local virtuel à l’extension de transfert. L’installation de l’entreprise de commutation appelle par programme une interface de programmation d’applications (API) de WMI (Windows Management Instrumentation) qui active la transparence, indiquant ainsi au commutateur virtuel Hyper-V de passer et de n’entreprendre aucune action avec les étiquettes VLAN.Fonctionnalités importantesVoici certaines des fonctionnalités principales incluses dans le commutateur virtuel Hyper-V :Protection contre l’empoisonnement (usurpation d’identité) du cache ARP/ND : offre une protection contre tout ordinateur virtuel malveillant susceptible d’usurper une identité par empoisonnement du cache ARP (Address Resolution Protocol) dans le but de subtiliser les adresses IP d’autres ordinateurs virtuels. Il fournit une protection contre les attaques pouvant être lancées contre IPv6 par usurpation ND (Neighbor Discovery).Protection DHCP : protège contre tout ordinateur virtuel malicieux se présentant comme un serveur DHCP (Dynamic Host Configuration Protocol) pour des attaques d’intercepteur (« man-in-the-middle »).Listes de contrôle d’accès des ports : permet un filtrage du trafic basé sur les adresses/plages MAC (Media Access Control) ou IP (Internet Protocol), ce qui permet de configurer l’isolement du réseau virtuel.Mode Jonction à un ordinateur virtuel : permet aux administrateurs de configurer un ordinateur virtuel spécifique sous forme d’appareil virtuel, puis de diriger le trafic des différents réseaux locaux virtuels vers l’ordinateur virtuel en question.Analyse du trafic réseau : permet aux administrateurs d’examiner le trafic qui transite par le commutateur réseau.Réseau local virtuel isolé (privé) : permet aux administrateurs de scinder le trafic sur plusieurs réseaux locaux virtuels afin d’établir plus facilement des communautés isolées de locataires.La liste suivante récapitule les fonctionnalités qui améliorent l’utilisation du commutateur virtuel Hyper-V :Prise en charge de la limitation de la bande passante et des pics d’activité réseau : le minimum de bande passante assure une bande passante réservée. La bande passante maximale limite son exploitation par une machine virtuelle.Prise en charge du marquage ECN : le marquage ECN (Explicit Congestion Notification), également connu sous le nom de « protocole TCP de centre de données » (DCTCP), permet au commutateur physique et au système d’exploitation de réguler le trafic afin que les ressources de la mémoire tampon du commutateur ne soient pas surchargées, ce qui se traduit par un débit supérieur du trafic.Diagnostics : les diagnostics permettent un suivi simple des événements et des paquets qui transitent par le commutateur virtuel.Commutateur virtuel Hyper-VLes fonctionnalités du commutateur virtuel Hyper-V, décrites dans la section précédente (Important Functionality) de cette rubrique, permettent aux administrateurs de configurer les options de sécurité et d’isolement, mais aussi d’analyser le trafic à l’aide d’outils inédits. La nature évolutive du commutateur permet aux éditeurs de logiciels indépendants de fournir une couche supplémentaire de personnalisation.Quels avantages cette modification procure-t-elle ?L’accroissement récent de l’utilisation de la virtualisation a permis à de nombreuses sociétés d’hébergement de placer des ordinateurs virtuels sur un même système pour plusieurs clients, augmentant ainsi le besoin d’isolement et de protection. Si Windows Server 2008 R2 assure une protection par défaut contre l’usurpation d’adresses MAC, les versions serveur jusqu’à Windows Server 2008 R2 n’offrent qu’une protection minimale pour le trafic réseau virtualisé. Dans Windows Server® 2012, les transmissions entre les ordinateurs virtuels sur le même ordinateur hôte physique sont plus sûres grâce aux améliorations qui protègent contre les ordinateurs virtuels malveillants.Dans Windows Server® 2012, le nouveau commutateur virtuel Hyper-V offre plus de sécurité, notamment une fonctionnalité qui permet aux clients de suivre facilement et de faire transiter le trafic à travers le commutateur. En outre, il prend en charge une interface dans laquelle les éditeurs de logiciels indépendants peuvent étendre les fonctionnalités du commutateur.Configuration matérielle requiseLe commutateur virtuel Hyper-V nécessite un processeur 64 bits qui comprend les éléments suivants :Disque ou fichiers du produit pour Windows Server® 2012Ordinateur physique pour l’hébergement de Windows Server® 2012Virtualisation à assistance matérielle. Elle est disponible dans les processeurs dotés d’une option de virtualisation, et plus précisément les processeurs dotés de la technologie Intel VT (Intel Virtualization Technology) ou AMD-V (AMD Virtualization).La prévention de l’exécution des données par le matériel doit être disponible et activée. Plus précisément, vous devez activer le bit Intel XD ou AMD NX.Voir aussiVoici la liste récapitulant les ressources relatives au commutateur virtuel Hyper-V.Type de contenuRéférencesÉvaluation du produitPrésentation du commutateur réseau virtuel Hyper-V et résolution des problèmes qui y sont liésWindows Server® 2012 dans http://go.microsoft.com/fwlink/p/?LinkId=237247Ressources pour les développeurs MSDN : Commutateur extensible Hyper-Vhttp://msdn.microsoft.com/library/windows/hardware/hh598161(v=vs.85).aspxRessources de la communautéBlog sur Microsoft Server et la plateforme cloud : Windows Server 2012 : Présentation du commutateur extensible Hyper-Vhttp://blogs.technet.com/b/server-cloud/archive/2011/11/08/windows-server-8-introducing-hyper-v-extensible-switch.aspx | Blog Virtual PC Guy : Commutateur extensible Hyper-V dans Windows Server 2012http://blogs.msdn.com/b/virtual_pc_guy/archive/2011/11/10/hyper-v-extensible-switch-in-windows-server-8.aspx | Windows Lifestyle : Commutateur extensible Hyper-V dans Windows Server 2012http://www.windowslifestyle.com/hyperv-extensible-switch-windows-server-8/Technologies connexesHyper-V | Solutions de cloud computing privé Microsofthttp://www.microsoft.com/server-cloud/readynow/Documentation connexeHyper-V dans Windows Server 2012Hyper-Vhttp://technet.microsoft.com/library/cc753637(WS.10).aspx dans la bibliothèque technique Windows Server 2008 et Windows Server 2008 R2 sur TechNetRessources pour les développeurs concernant le commutateur extensible Hyper-Vhttp://msdn.microsoft.com/library/windows/hardware/hh598161(v=vs.85).aspx dans la bibliothèque Microsoft Developer Network (MSDN)Connexions Ethernet 802.3 protégées par un accès câblé authentifié 802.1Xhttp://technet.microsoft.com/library/cc753354(v=ws.10).aspx commuté<_caps3a_sxssource locale="en-US">This topic describes Hyper-V Virtual Switch in Windows Server 2012. This topic also lists some practical uses for the Hyper-V virtual switch, hardware and software requirements, and provides links to additional information.In addition to this topic, the following Hyper-V Virtual Switch documentation is also available.What's New in Hyper-V Virtual Switch for Windows Server 2012 R2 What's New in Hyper-V Virtual Switch for Windows Server 2012 Create Security Policies with Extended Port Access Control Lists for Windows Server 2012 R2 Hyper-V: Configure VLANs and VLAN Tagginghttp://social.technet.microsoft.com/wiki/contents/articles/1306.hyper-v-configure-vlans-and-vlan-tagging.aspxHyper-V: The WFP virtual switch extension should be enabled if it is required by third party extensionshttp://social.technet.microsoft.com/wiki/contents/articles/13071.hyper-v-the-wfp-virtual-switch-extension-should-be-enabled-if-it-is-required-by-third-party-extensions.aspxCreate networks with VMM 2012http://social.technet.microsoft.com/wiki/contents/articles/3140.create-networks-with-vmm-2012.aspxUnified Tracing Hyper-V Virtual SwitchThe Hyper-V Virtual Switch is a software-based layer-2 Ethernet network switch that is available in Hyper-V Manager when you install the Hyper-V server role. The switch includes programmatically managed and extensible capabilities to connect virtual machines to both virtual networks and the physical network. In addition, Hyper-V Virtual Switch provides policy enforcement for security, isolation, and service levels.Hyper-V Virtual Switch only supports Ethernet, and does not support any other wired local area network (LAN) technologies, such as Infiniband and Fibre Channel.The Hyper-V Virtual Switch in Windows Server® 2012 introduces several new features and enhanced capabilities for tenant isolation, traffic shaping, protection against malicious virtual machines, and simplified troubleshooting.With built-in support for Network Device Interface Specification (NDIS) filter drivers and Windows Filtering Platform (WFP) callout drivers, the Hyper-V Virtual Switch enables independent software vendors (ISVs) to create extensible plug-ins (known as Virtual Switch Extensions) that can provide enhanced networking and security capabilities. Virtual Switch Extensions that you add to the Hyper-V Virtual Switch are listed in the Virtual Switch Manager feature of Hyper-V Manager.In the following illustration, a Virtual Machine (VM) has a virtual NIC that is connected to the Hyper-V Virtual Switch through a switch port. The capabilities provided in the Hyper-V Virtual Switch mean that organizations have more options for enforcing tenant isolation, shaping and controlling network traffic, and employing protective measures against malicious virtual machines.Practical applicationsDisplaying statistics: A developer at a hosted cloud vendor implements a management package that displays the current state of the Hyper-V virtual switch. The management package can query switch-wide current capabilities, configuration settings, and individual port network statistics using WMI. The status of the switch is then displayed to give administrators a quick view of the state of the switch.Resource tracking: A hosting company is selling hosting services priced according to the level of membership. Various membership levels include different network performance levels. The administrator allocates resources to meet the SLAs in a manner that balances network availability. The administrator programmatically tracks information such as the current usage of bandwidth assigned, and the number of virtual machine (VM)—assigned virtual machine queue (VMQ) or IOV channels. The same program also periodically logs the resources in use in addition to the per-VM resources assigned for double entry tracking or resources.Managing the order of switch extensions: An enterprise has installed extensions on their Hyper-V host to both monitor traffic and report intrusion detection. During maintenance, some extensions may be updated causing the order of extensions to change. A simple script program is run to reorder the extensions after updates.Forwarding extension manages VLAN ID: A major switch company is building a forwarding extension that applies all policies for networking. One element that is managed is virtual local area network (VLAN) IDs. The virtual switch cedes control of the VLAN to a forwarding extension. The switch company’s installation programmatically call a Windows Management Instrumentation (WMI) application programming interface (API) that turns on the transparency, telling the Hyper-V Virtual Switch to pass and take no action on VLAN tags.Important functionalitySome of the principal features that are included in the Hyper-V Virtual Switch are:ARP/ND Poisoning (spoofing) protection: Provides protection against a malicious VM using Address Resolution Protocol (ARP) spoofing to steal IP addresses from other VMs. Provides protection against attacks that can be launched for IPv6 using Neighbor Discovery (ND) spoofing.DHCP Guard protection: Protects against a malicious VM representing itself as a Dynamic Host Configuration Protocol (DHCP) server for man-in-the-middle attacks.Port ACLs: Provides traffic filtering based on Media Access Control (MAC) or Internet Protocol (IP) addresses/ranges, which enables you to set up virtual network isolation.Trunk mode to a VM: Enables administrators to set up a specific VM as a virtual appliance, and then direct traffic from various VLANs to that VM.Network traffic monitoring: Enables administrators to review traffic that is traversing the network switch.Isolated (private) VLAN: Enables administrators to segregate traffic on multiple vlans, to more easily establish isolated tenant communities.Following is a list of capabilities that enhance Hyper-V Virtual Switch usability:Bandwidth limit and burst support: Bandwidth minimum guarantees amount of bandwidth reserved. Bandwidth maximum caps the amount of bandwidth a VM can consume.ECN marking support: Explicit Congestion Notification (ECN) marking—also known as Data CenterTCP (DCTCP)—enables the physical switch and operating system to regulate traffic flow such that the buffer resources of the switch are not flooded, which results in increased traffic throughput.Diagnostics: Diagnostics allow easy tracing and monitoring of events and packets through the virtual switch.Hyper-V virtual switchThe Hyper-V Virtual Switch features described in the previous—Important Functionality—section of this topic enable administrators to configure security and isolation options, and monitor traffic in ways not previously provided. The extensible nature of the switch enables ISV to provide an additional layer of customization.What value does this change add?The recent increased utilization of virtualization has resulted in many hosting companies placing VMs for multiple clients on the same computer, increasing the need for isolation and protection. While Windows Server 2008 R2 does provide the default protection of MAC spoofing, server releases up through Windows Server 2008 R2 provide only minimal security protection for virtualized network traffic. In Windows Server® 2012, traffic that flows between VMs on the same physical host computer is more secure because of enhancements that protect against malicious virtual machines.In Windows Server® 2012, the new Hyper-V Virtual Switch provides more security, including functionality that will allow customers to readily monitor and move traffic through the switch. Additionally, the Hyper-V Virtual Switch supports an interface in which ISVs can extend the switch functionality.Hardware requirementsHyper-V Virtual Switch requires a 64-bit processor that includes the following:Product disk or files for Windows Server® 2012Physical computer for hosting Windows Server® 2012Hardware-assisted virtualization. This is available in processors that include a virtualization option—specifically processors with Intel Virtualization Technology (Intel VT) or AMD Virtualization (AMD-V) technology.Hardware-enforced Data Execution Prevention (DEP) must be available and enabled. Specifically, you must enable Intel XD bit or AMD NX.See alsoFollowing is a list of resources related to the Hyper-V virtual switch.Content typeReferencesProduct evaluationUnderstand and Troubleshoot Hyper-V Virtual Network Switchhttp://go.microsoft.com/fwlink/p/?LinkId=237247 in Windows Server® 2012Developer Resources MSDN: Hyper-V Extensible Switchhttp://msdn.microsoft.com/library/windows/hardware/hh598161(v=vs.85).aspxCommunity resourcesMicrosoft Server and Cloud Platform Blog: Windows Server 2012: Introducing Hyper-V Extensible Switchhttp://blogs.technet.com/b/server-cloud/archive/2011/11/08/windows-server-8-introducing-hyper-v-extensible-switch.aspx | Virtual PC Guy's Blog: Hyper-V Extensible Switch in Windows Server 2012http://blogs.msdn.com/b/virtual_pc_guy/archive/2011/11/10/hyper-v-extensible-switch-in-windows-server-8.aspx | Windows Lifestyle: Hyper-V Extensible Switch in Windows Server 2012http://www.windowslifestyle.com/hyperv-extensible-switch-windows-server-8/Related technologiesHyper-V | Microsoft Private Cloud Solutionshttp://www.microsoft.com/server-cloud/readynow/Related documentationHyper-V in Windows Server 2012Hyper-Vhttp://technet.microsoft.com/library/cc753637(WS.10).aspx in Windows Server 2008 and Windows Server 2008 R2 technical library on TechNetDeveloper resources for Hyper-V Extensible Switchhttp://msdn.microsoft.com/library/windows/hardware/hh598161(v=vs.85).aspx in the Microsoft Developer Network (MSDN) libraryProtected 802.3 Ethernet connections using switch-based 802.1X Authenticated Wired Accesshttp://technet.microsoft.com/library/cc753354(v=ws.10).aspx
Afficher: