Hyper-V Virtual Switch Overview
Van toepassing op: Windows Server 2012 R2, Windows Server 2012, Windows 8
In dit onderwerp wordt de virtuele Hyper-V-switch in Windows Server 2012 beschreven. In dit onderwerp worden ook enkele toepassingen voor de virtuele Hyper-V-switch en hardware- en softwarevereisten beschreven. Daarnaast vindt u hier koppelingen naar aanvullende informatie.
Notitie
Naast dit onderwerp is de volgende documentatie beschikbaar voor de virtuele Hyper-V-switch.
Virtuele Hyper-V-switch
De virtuele Hyper-V-switch is een op software gebaseerde layer-2 Ethernet-netwerkswitch die beschikbaar is in Hyper-V-beheer wanneer u de Hyper-V-serverfunctie installeert. De mogelijkheden van de switch kunnen worden geprogrammeerd en uitgebreid voor verbinding met virtuele machines in virtuele netwerken en het fysieke netwerk. Bovendien kan met de virtuele Hyper-V-switch beleid worden afgedwongen op beveiligings-, isolatie- en serviceniveau.
Belangrijk
De virtuele Hyper-V-switch ondersteunt alleen Ethernet en biedt geen ondersteuning voor andere bekabelde LAN-technologieën (Local Area Network), zoals Infiniband en Fibre Channel.
De virtuele Hyper-V-switch in Windows Server® 2012 biedt een aantal nieuwe en verbeterde mogelijkheden voor de isolatie van tenants, het vormgeven van verkeer, de bescherming tegen schadelijke virtuele machines en vereenvoudigde probleemoplossing.
Met ingebouwde ondersteuning voor NDIS- filterstuurprogramma's (Network Device Interface Specification) en WPF-callout-stuurprogramma's (Windows Filtering Platform) stelt de virtuele Hyper-V-switch onafhankelijke softwareleveranciers (ISV's) in staat uitbreidbare invoegtoepassingen (virtuele-switchextensies) te maken die verbeterde netwerk- en beveiligingsmogelijkheden kunnen bieden. Virtuele-switchextensies die u aan de virtuele Hyper-V-switch kunt toevoegen, worden weergegeven in de functie Virtual Switch Manager van Hyper-V-beheer.
In de volgende afbeelding is een virtuele machine (VM) te zien met een virtuele NIC die via een switchpoort is verbonden met de virtuele Hyper-V-switch.
.jpeg "Overzicht van virtuele Hyper-V-switch")
Met de mogelijkheden van de virtuele Hyper-V-switch beschikken organisaties over meer opties voor het afdwingen van tenantisolatie, het vormgeven en beheren van netwerkverkeer en het nemen van beschermende maatregelen tegen schadelijke virtuele machines.
Praktische toepassingen
Statistieken weergeven: een ontwikkelaar bij een leverancier van een gehoste cloud implementeert een beheerpakket waarin de huidige status van de virtuele Hyper-V-switch wordt weergegeven. Met het beheerpakket kunnen op basis van WMI informatie over de huidige mogelijkheden, configuratie-instellingen en afzonderlijke poortnetwerkstatistieken worden verzameld. De status van de switch wordt vervolgens weergegeven om beheerders snel inzicht in de status van de switch te geven.
Bronnen bijhouden: een hostingprovider verkoopt hostingservices op basis van het lidmaatschapsniveau. De netwerkprestaties verschillen per lidmaatschapsniveau. De beheerder wijst bronnen toe om aan de SLA’s te voldoen op een wijze waarbij een balans wordt gezocht in de netwerkbeschikbaarheid. De beheerder houdt in een programma onder andere informatie bij over het huidige gebruik van toegewezen bandbreedte en het aantal virtuele machines (VM), via een toegewezen wachtrij voor virtuele machines of IOV-kanalen. In hetzelfde programma worden naast de toegewezen bronnen per VM ook de gebruikte bronnen vastgelegd om dubbele items of bronnen bij te houden.
De volgorde van switchextensies beheren: een onderneming heeft extensies op de Hyper-V-host geïnstalleerd om het verkeer te controleren en inbraakdetectie te rapporteren. Wanneer tijdens onderhoud bepaalde extensies worden bijgewerkt, kan de volgorde van extensies worden gewijzigd. Na updates wordt een eenvoudig scriptprogramma uitgevoerd om de volgorde van extensies te herstellen.
Doorstuuruitbreiding beheert VLAN-id: een belangrijke ontwikkelaar van switches is bezig met een doorstuuruitbreiding waarmee alle beleidsregels voor netwerken worden toegepast. Eén element dat wordt beheerd, zijn VLAN-id’s (Virtual Local Area Network). De virtuele switch geeft de controle over de VLAN over aan een doorstuuruitbreiding. Met de installatie van de switch-ontwikkelaar wordt via een programma een API (Application Programming Interface) voor WMI (Windows Management Instrumentation) aangeroepen waarmee de transparantie wordt ingeschakeld en de virtuele Hyper-V-switch wordt geïnstrueerd VLAN-tags zonder verdere acties door te geven.
Belangrijke functionaliteit
Enkele van de belangrijkste functies die zijn opgenomen in de virtuele Hyper-V-switch zijn:
Bescherming tegen schadelijke ARP/ND-aanvallen (spoofing): er wordt bescherming geboden tegen een schadelijke VM die gebruikmaakt van ARP-spoofing (Address Resolution Protocol) om IP-adressen van andere VM’s te stelen. Daarnaast wordt bescherming geboden tegen aanvallen die voor IPv6 kunnen worden gestart via ND-spoofing (Neighbor Discovery).
Bescherming van DHCP-beveiliging: hiermee wordt bescherming geboden tegen een kwaadwillende virtuele machine die zich als een DHCP-server voordoet voor man-in-the-middle-aanvallen.
Poort-ACL's: hiermee wordt verkeer gefilterd op basis van MAC- of IP-adressen of -adresbereiken, zodat u de isolatie van een virtueel netwerk kunt instellen.
Modus Trunk voor een virtuele machine: hiermee kunnen beheerders een specifieke virtuele machine als virtuele toepassing instellen en vervolgens verkeer vanuit verschillende VLAN's omleiden naar die virtuele machine.
Controle van netwerkverkeer: hiermee kunnen beheerders het verkeer controleren dat de netwerkswitch passeert.
Geïsoleerde VLAN (privé): hiermee kunnen beheerders verkeer in meerdere VLAN's scheiden om eenvoudiger geïsoleerde tenantcommunity's tot stand te brengen.
Hieronder vindt u een lijst met mogelijkheden waarmee de bruikbaarheid van de virtuele Hyper-V-switch wordt verbeterd:
Bandbreedtelimiet en piekondersteuning: bij een bandbreedteminimum wordt een gereserveerde hoeveelheid bandbreedte gegarandeerd. Met een bandbreedtemaximum wordt een bovengrens gesteld aan de hoeveelheid brandbreedte die een VM kan verbruiken.
Ondersteuning voor ECN-markering: met ECN-markering (Explicit Congestion Notification), ook wel Data CenterTCP (DCTCP) genoemd, kunnen de fysieke switch en het besturingssysteem de verkeersstroom zo regelen dat de bufferbronnen van de switch niet overstromen en het verkeer optimaal wordt doorgevoerd.
Diagnostische gegevens: met diagnostische gegevens kunnen gebeurtenissen en pakketten eenvoudiger worden getraceerd en gecontroleerd via de virtuele switch.
Hyper-V virtuele switch
Met de functies van de virtuele Hyper-V-switch die worden beschreven in de sectie Belangrijke functionaliteit van dit onderwerp kunnen beheerders op geheel nieuwe manieren beveiligings- en isolatieopties configureren en verkeer controleren. Dankzij de uitbreidbare aard van de switch kunnen onafhankelijke softwareleveranciers een extra aanpassingslaag bieden.
Wat is de toegevoegde waarde van deze wijziging?
De recente toename in het gebruik van virtualisatie heeft ertoe geleid dat veel hostingbedrijven VM's voor meerdere clients op dezelfde computer opnemen waardoor de noodzaak van isolatie en bescherming toeneemt. Terwijl Windows Server 2008 R2 de standaardbeveiliging tegen MAC-spoofing biedt, bieden serverversies tot en met Windows Server 2008 R2 alleen minimale beveiliging voor gevirtualiseerd netwerkverkeer. In Windows Server® 2012 wordt verkeer dat op dezelfde fysieke computer tussen VM's stroomt beter beveiligd vanwege verbeteringen in de bescherming tegen schadelijke virtuele machines.
In Windows Server® 2012 biedt de nieuwe virtuele Hyper-V-switch meer veiligheid, inclusief functionaliteit waarmee klanten verkeer eenvoudig kunnen controleren en door de switch kunnen leiden. Daarnaast ondersteunt de virtuele Hyper-V-switch een interface waarin onafhankelijke softwareleveranciers de switchfunctionaliteit kunnen uitbreiden.
Hardwarevereisten
De virtuele Hyper-V-switch vereist een 64-bits processor met het volgende:
Product-cd of -bestanden voor Windows Server® 2012
Fysieke computer voor het hosten van Windows Server® 2012
Virtualisatie ondersteund door hardware Dit is beschikbaar in de processors met een optie voor virtualisatie – om precies te zijn processors met Intel Virtualization Technology (Intel VT) of AMD-V-technologie (AMD Virtualization).
DEP (Data Execution Prevention) afgedwongen door hardware moet beschikbaar en ingeschakeld zijn. U moet in het bijzonder Intel XD-bit of AMD NX inschakelen.
Zie ook
Hieronder volgt een lijst met bronnen die gerelateerd zijn aan de virtuele Hyper-V-switch.
Inhoudstype |
Verwijzingen |
|---|---|
Productevaluatie |
Understand and Troubleshoot Hyper-V Virtual Network Switch (Engelstalig) in Windows Server® 2012 |
Bronnen voor ontwikkelaars |
MSDN: Hyper-V Extensible Switch (Engelstalig) |
Communitybronnen. |
Microsoft Server and Cloud Platform Blog: Windows Server 2012: Introducing Hyper-V Extensible Switch (Engelstalig) | Virtual PC Guy's Blog: Hyper-V Extensible Switch in Windows Server 2012 (Engelstalig) | Windows Lifestyle: Hyper-V Extensible Switch in Windows Server 2012 (Engelstalig) |
Verwante technologieën |
Verwante documentatie
Overzicht van Hyper-V in Windows Server 2012
Hyper-V in Windows Server 2008 en de technische bibliotheek voor Windows Server 2008 R2 op TechNet
Bronnen voor ontwikkelaars voor uitbreidbare Hyper-V-switch in de MSDN-bibliotheek (Microsoft Developer Network)
Beveiligde 802.3 Ethernet-verbindingen op basis van een switch met geverifieerde bekabelde 802.1X-toegang