第4章网络功能设置(科干院)

1、4.1 Hyper-v3.0虚拟网络4.2 NIC Teaming4.3 PVLAN4.4 Port Access Control Lists4.5 SR-IOVHyper-v交换机特点：1. 开放平台。vSwitch 构建在一个开放平台上，该平台允许独立软件供应商添加或扩展 vSwitch 中本机提供的功能。vSwitch 的功能与添加的扩展功能一起运行。2. 标准 API。可扩展交换机的编程模型使用的应用程序编程接口 (API) 与早期版本的 Windows 中用于网络筛选器和驱动程序的 API 相同，即 NDIS 和 WFP。为虚拟交换机端口增加了新的 API 和参数。3. Window

2、s 可靠性和质量。Windows 平台和 Windows 硬件质量徽标 (WHQL) 计划为扩展质量设置了较高的标准。4. 策略和配置集成。扩展的管理通过 Windows Management Instrumentation (WMI) 调用和 Windows PowerShell cmdlet 集成到 Windows 管理中，从而提供标准的管理方法。在实时迁移期间，扩展策略自动与虚拟机配置一起迁移。5. 易于排查问题。vSwitch 附带事件日志和统一跟踪，在发生问题时诊断和排查起来更加容易。外部：虚拟交换机部署完成后，虚拟机和宿主机连接到同一个虚拟交换机。虚拟机与宿主机获取同一网段的IP地

3、址，与宿主机所在的网络中的其他计算机通信，每台虚拟机等同于宿主机所在网络的宿主机。当管理员创建一个外部虚拟网络交换机时，虚拟交换机管理器修改了物理网络适配器和外部虚拟网络交换机一些必要的属性，物理网络适配器的属性会发生如下变化：1) 解绑定以下服务、协议和客户：Microsoft网络客户端、Microsoft网络文件和打印机共享，TCP/IP协议IPv4、TCP/IP协议IPv6，以及物理网络适配器属性中列出的所有其他服务、客户端或协议。2) 绑定“微软虚拟网络交换机协议”。另外外部虚拟网络交换机发生下面的变化：1）绑定以下服务、协议和客户端：Microsoft网络客户端、Microsoft网

4、络文件和打印机共享，TCP/IP协议IPv4、TCP/IP协议IPv6。2）解绑定“微软虚拟网络交换机协议”。专用网络相当与虚拟一个专供虚拟机之间连接的虚拟交换机，所有的虚拟机连接到同一个虚拟交换机上，所有的虚拟机之间可以通信，但是不能访问宿主机以及宿主机所在的网络。内部网络相当于给宿主机虚拟一张网卡，用于于虚拟机通信，并且提供DHCP服务和NAT代理服务。虚拟机可以通过宿主机上网但是不能与宿主机所在的网络通信。内部虚拟 交换机的主要作用是隔离虚拟网络和物理网络。但可以与管理操作系统进行通讯。1.Capturing Extension：作用是通过虚拟交换机监控网络流量，把虚拟交换机监控网络流量

5、的报告返回给中央监控程序或者管理程序。2.Filtering Extension：可以捕获、修改和在虚拟交换机的数据包中插入信息，它可以丢弃数据包或者防止数据包传送到一个或者多个目的地。3.Forwarding Extension：是一种全方位的扩展，可以做一切转发和过滤扩展。NIC Teaming：NIC组合就是把同一台服务器上的多个物理网卡通过软件绑定成一个虚拟的网卡，也就是说，对于外部网络而言，这台服务器只有一个可见的网卡。对于任何应用程序，以及本服务器所在的网络，这台服务器只有一个网络链接或者说只有一个可以访问的IP地址。 之所以要利用NIC组合技术，除了利用多网卡同时工作来提高网络速

6、度以外，还有可以通过NIC组合实现不同网卡之间的负载均衡（Load balancing）和网卡冗余（Fault tolerance）。NIC Teaming模式有三种静态成组（Static Teaming）这是一种依赖于对交换机（Switch-dependent）的组合方式，要求交换机的支持，并且成员网卡不能分散到不同的交换机上。可以参考下图：NIC组合可以与windows server 2012中的大部分网络功能兼容，但是如果是SR-IOV、远程直接数据存取技术（RDMA）和TCP Chimmey功能，NIC组合是不支持的、NIC组合可以支持不同品牌网卡进行组合，但是在每一个小组中，最多支持

7、32个网口作为1个组。（1）成组模式静态成组：这是一种依赖于对交换机（Switch-dependent）的组合方式，要求交换机的支持，并且成员网卡不能分散到不同的交换机上，网卡可以工作于不同的速度。一般情况下，服务器级别的交换机通常支持此模式交换机独立：网卡组合不需要交换机的参与，这样网卡可以连接到不同的交换机上，从交换机这个级别开始高可用。这种组合方式适用不支持网卡组合的交换机，由Windows Server 2012来完成相应的处理工作LACA动态组合：类似静态成组，需要先在交换机中启用LACP（link aggregation control protocol)，会把多块网卡合并成一个逻

8、辑的线路，这种组合方式的速度是最快的。LACP 原本用于交换机和交换机之间的链路聚合，启用了LACP协议的两台交换机会相互发送LACP协商报文，当发现两者之间有多条可用链路的时候，自动将这些链路组合成一条带宽更宽的逻辑链路，从而利用负载均衡来实现加宽交换机间的链路带宽的目的。（2）负载平衡模式地址哈希：一种基于哈希算法的处理负载平衡的模式，可以指定哈希函数的输入，包括源和目的MAC地址、源和目的IP地址、源和目的TCP端口、Hyper-v端口：与无法控制的地址哈希相比，这种方式效率更高，数据会通过绑定虚拟网卡的不同物理网卡传输，同时这种绑定是基于每个虚拟网卡，而不是每台虚拟机的。如果是使用Hy

9、per-V外部虚拟交换机建议选择这种方式。动态：这种方式是在Windows Server 2012 R2中新引入的方式，也是最优化的方式，数据会被平分到所有的成员网卡上，最大效率的利用带宽。（3）备用适配器：可以让其中的一个网卡当备用网卡；也可以让所有网卡都处于活动状态。（4）模式设置：使用powershell更改NIC组合的模式：在实际生产环境中，NIC组合内的网卡可以增加或减少。可以在“适配器和接口”界面中选择独立的适配器进行增加或者删除。在完成NIC组合后，所有网卡都处于active状态，如果将模式调准为active/standby，则会有一张网卡在待命，其他网卡在运行，这样可以降低网卡

10、故障的几率。但active/standby有切换的时间。只有在“独立模式”下才可以设置active/standby模式NIC组合也支持VLAN ID ,NIC可以包括一个朱VLAN，多个辅助VLAN，但在图形界面下只能设置主VLAN。Hyper-v可以使用外部虚拟交换机连接NIC组合，这样可以增加虚拟交换机的网络带宽，增强虚拟交换机的网络通讯能力。另外可以在虚拟机中采用NIC组合，但虚拟机必须安装windows server 2012,并且虚拟机至少需要两块虚拟网卡，这两块网卡分贝在不同的外部虚拟交换机上。1.建立NIC组合2.更改NIC组合的模式3.NIC组合备用适配器状态4.VLAN ID

11、管理传统传统VLANVLAN：每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Ethernet的信息探听，但传统但传统VLANVLAN局限主要有： 1.VLAN的限制：交换机固有的VLAN数目的限制； 2.复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理； 3.IP地址的紧缺：IP子网的划分势必造成一些IP地址的浪费； 4.路由的限制：每个子网都需要相应的默认网关的配置。PVLAN简介： PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的，用户只需与自己的默认网关连接，一个PVLAN不

12、需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接，所有的用户都接入PVLAN，从而实现了所有用户与默认网关的连接，而与PVLAN内的其它用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信，但可以穿过Trunk端口。这样即使同一VLAN中的用户相互之间也不会受到广播的影响主要VLAN(Primary VLAN)：主VLAN将VLAN分成若干个小组，所有的辅助PVLAN都在VLAN中，主VLAN可以和所有与他关联的隔离VLAN、团体VLAN进行通讯，它把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口。 辅助VLAN(Seconda

13、ry VLAN)：辅助VLAN只存在于主VLAN中，每个辅助VLAN都有一个和他相关的VLAN ID，这些数据包通过标记的ID进行通讯。交换机将这些相关的PVLAN进行隔离，将每个VLAN ID的包分成隔离VLAN和团体VLAN。隔离VLAN(Isolated VLAN)：把流量从隔离端口传送到一个混杂端口。隔离VLAN中的端口，使其不能与PVLAN (另一个团体VLAN端口或相同隔离VLAN内的端口)内部的任何其它端口进行第2层通信。若要与其它端口通信，则必须穿越混杂端口。 团体VLAN(Community VLAN)：在相同团体VLAN内部的团体端口之间传送流量并传送到混杂端口，团体VLA

14、N内的 端口可以在第2层彼此通信(只是在相同团体VLAN内部)，但是不能与其它团体或隔离VLAN的端口进行通信。若要与其它端口进行通信，则必须穿越混杂端口。混杂端口(Promiscuous Port)：隶属于“主 VLAN”，一个混杂端口可以与所有接口通信，包括PVLAN内的隔离和团体端口；混杂端口的功能是在团体和隔离的VLAN端口之间传递流量。主机端口(Host Port)：隶属于“辅助VLAN”，由于“辅助VLAN”具有两种属性，那么主机端口依 “辅助 VLAN”属性的不同也有两种分类： 隔离端口(Isolated Port)：它与PVLAN内的所有其它端口相分离，除混杂端口外；来源于隔离

15、端口的流量仅仅传送给混杂端口。 团体端口(Community Port)：它在逻辑上把相同区域内部的各个端口和混杂端口结合到一起，流量可以在它们 之间传送。混杂（混杂（PromiscuousPromiscuous）VLANVLAN：属于Promiscuous的虚拟机E和F，可以和同属于一个PrimaryVLAN的任何设备通讯。 Promiscuous的PVLAN ID 和Primary VLAN ID 是一样的。在上图中都是5团体（团体（CommunityCommunity）VLANVLAN：同属于Community PVLAN的虚拟机A和B之间可以通讯，可是他们不能和除了Promiscuou

16、s PVLAN之外的设备通讯隔离（隔离（IsolatedIsolated）VLANVLAN：同属于Isolated PVLAN的虚拟机C和D之间不可以通讯，可是他们不能和除了Promiscuous PVLAN之外的设备通讯通信范围primary VLAN:可以和所有他所关联的isolated VLAN、community VLAN通信。community VLAN:可以同那些处于相同community VLAN内的community port通信，也可以与pVLAN中的promiscuous端口通信。 （每个pVLAN可以有多个community VLAN）isolated VLAN:不可以和

17、处于相同isolated VLAN内的其它isolated port通信，只可以与promiscuous端口通信。 （每个pVLAN中只能有一个isolated VLAN）pVLAN当中使用的一些规则：1.一个“Primary VLAN”当中至少有1个“Secondary VLAN”，没有上限。2.一个“Primary VLAN”当中只能有1个“Isolated VLAN”，可以有多个“Community VLAN”。3.不同“Primary VLAN”之间的任何端口都不能互相通信（这里“互相通信”是指二层连通性）。4.“Isolated端口”只能与“混杂端口”通信，除此之外不能与任何其他端口

18、通信。5.“Community端口”可以和“混杂端口”通信，也可以和同一“Community VLAN”当中的其它物理端口进行通信，除此之外不能和其他端口通信。 某公司的DMZ内有很多虚拟机和物理设备，担心某个设备被入侵后会危及其他设备。PVLAN是一个很合适的解决方案。 VM2和VM3是同一个应用的两个虚拟机。把它们放入Community PVLAN可以保证它们之间的通讯。在物理交换机上也设置好PVLAN，并把相关路由器或者防火墙也接入属于同一个Primary VLAN的PromiscuousPVLAN. 这样VM2和VM3可以和路由器、防火墙通讯，从而可以和DMZ之外的设备通讯。但是它们不

19、可以和同属于DMZ内的VM1通讯。 好处在于一旦VM2或VM3被入侵，不会以此为跳板轻易访问到VM1。另一个好处是每次在该PrimaryVLAN内增加虚拟机，只需在vSphere中设置SecondaryPVLAN ID，无需每次都更改物理交换机的设置。情景二：某公司需要搭建一个测试环境，希望与实际生产环境的设置一致。这难免需要相对复杂的VLAN隔离。通过PVLAN方案，在Primary VLAN 70下面分出三个Private VLAN 10,20 和30. 也可以实现隔离的目的。模拟了生产环境中的SecureZone、productionZone 和WorkstationZone.思科650

20、0支持所有的PVLAN特性思科4500不支持团体VLAN低端交换机只支持隔离端口特性与VlAN一样，PVLAN可以跨越多个交换机。一个中继端口承载主VLAN和辅助VLAN到相邻交换机之间的通讯。中继端口把PVLAN当作其他任何一个VLAN来处理。1.标准Trunk:标准trunk对待PVLAN和对待普通VLAN是一样的，所穿过的中间设备都要配置PVLAN。标准trunk传输主VLAN和辅助VLAN流量。这种情况要求所有的交换机都支持PVLAN，而且两边必须手工配置上相同的PVLAN，否则就会丢弃数据报。2.PVLAN Trunk接口：一种是隔离trunk端口，隔离trunk端口仅传输辅助端口的

21、流量；第二种是混杂trunk端口，传输混杂模式的流量并可携带多个主VLAN。在windows server 2012中创建的PVLAN要和物理交换机上的PVLAN相对应，否则就无法进行通信。创建PVLAN无法在图形界面下完成。1.在物理交换机上创建PVLAN2.在windows server 2012中创建PVLANACLs（ port access Control list）是端口访问控制列表，可以控制进入网络的流量。在windows server 2012中，可以通过ACLs来控制虚拟机的网络流量。需要在powershell命令来管理虚拟机流量。-VMNetworkAdapterAcl1.使用ACLs控制虚拟机 SR-IOV 技术是一种基于硬件的虚拟化解决方案，可提高性能和可伸缩性。SR-IOV 标准允许在虚拟机之间高效共享 PCIe（Peripheral Component Interconnect Express，快速外设组