第4章网络功能设置.docx
- 文档编号:26632005
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:21
- 大小:1.40MB
第4章网络功能设置.docx
《第4章网络功能设置.docx》由会员分享,可在线阅读,更多相关《第4章网络功能设置.docx(21页珍藏版)》请在冰豆网上搜索。
第4章网络功能设置
第4章网络功能及设置
本章概述
Windowsserver2012hyper-v改进最大的就是网络功能,和过去简单网络功能相比,增加了很多的功能,现在甚至可以管理一个两层的可扩展的交换机。
微软还推出了内置的NICTeaming(网卡绑定)功能,该功能在当初设计时就是由一些微软虚拟化的用户提出来的,所以就注定这一个功能更贴近实际应用,本章简单介绍hyper-v的网络功能。
教学目标:
●了解Hyper-v3.0虚拟网络
●理解NICTeaming
●理解PVLAN
●了解PortAccessControlLists
●了解SR-IOV
教学重点:
●NICTeaming
●PVLAN
教学难点:
●NICTeaming
●PVLAN
教学内容:
4.1hyper-v3.0虚拟网络
Hyper-v交换机特点:
1.开放平台。
vSwitch构建在一个开放平台上,该平台允许独立软件供应商添加或扩展vSwitch中本机提供的功能。
vSwitch的功能与添加的扩展功能一起运行。
2.标准API。
可扩展交换机的编程模型使用的应用程序编程接口(API)与早期版本的Windows中用于网络筛选器和驱动程序的API相同,即NDIS和WFP。
为虚拟交换机端口增加了新的API和参数。
3.Windows可靠性和质量。
Windows平台和Windows硬件质量徽标(WHQL)计划为扩展质量设置了较高的标准。
4.策略和配置集成。
扩展的管理通过WindowsManagementInstrumentation(WMI)调用和WindowsPowerShellcmdlet集成到Windows管理中,从而提供标准的管理方法。
在实时迁移期间,扩展策略自动与虚拟机配置一起迁移。
5.易于排查问题。
vSwitch附带事件日志和统一跟踪,在发生问题时诊断和排查起来更加容易。
4.1.1外部虚拟交换机
外部:
虚拟交换机部署完成后,虚拟机和宿主机连接到同一个虚拟交换机。
虚拟机与宿主机获取同一网段的IP地址,与宿主机所在的网络中的其他计算机通信,每台虚拟机等同于宿主机所在网络的宿主机。
当管理员创建一个外部虚拟网络交换机时,虚拟交换机管理器修改了物理网络适配器和外部虚拟网络交换机一些必要的属性,
物理网络适配器的属性会发生如下变化:
1)解绑定以下服务、协议和客户:
Microsoft网络客户端、Microsoft网络文件和打印机共享,TCP/IP协议IPv4、TCP/IP协议IPv6,以及物理网络适配器属性中列出的所有其他服务、客户端或协议。
2)绑定“微软虚拟网络交换机协议”。
另外外部虚拟网络交换机发生下面的变化:
1)绑定以下服务、协议和客户端:
Microsoft网络客户端、Microsoft网络文件和打印机共享,TCP/IP协议IPv4、TCP/IP协议IPv6。
2)解绑定“微软虚拟网络交换机协议”。
虚拟交换机体系结构图
4.1.2专用虚拟交换机
专用网络相当与虚拟一个专供虚拟机之间连接的虚拟交换机,所有的虚拟机连接到同一个虚拟交换机上,所有的虚拟机之间可以通信,但是不能访问宿主机以及宿主机所在的网络。
4.1.3内部虚拟交换机
内部网络相当于给宿主机虚拟一张网卡,用于于虚拟机通信,并且提供DHCP服务和NAT代理服务。
虚拟机可以通过宿主机上网但是不能与宿主机所在的网络通信。
内部虚拟交换机的主要作用是隔离虚拟网络和物理网络。
但可以与管理操作系统进行通讯。
4.1.4可扩展交换机
1.CapturingExtension:
作用是通过虚拟交换机监控网络流量,把虚拟交换机监控网络流量的报告返回给中央监控程序或者管理程序。
2.FilteringExtension:
可以捕获、修改和在虚拟交换机的数据包中插入信息,它可以丢弃数据包或者防止数据包传送到一个或者多个目的地。
3.ForwardingExtension:
是一种全方位的扩展,可以做一切转发和过滤扩展。
4.2NICTeaming
NICTeaming:
NIC组合就是把同一台服务器上的多个物理网卡通过软件绑定成一个虚拟的网卡,也就是说,对于外部网络而言,这台服务器只有一个可见的网卡。
对于任何应用程序,以及本服务器所在的网络,这台服务器只有一个网络链接或者说只有一个可以访问的IP地址。
之所以要利用NIC组合技术,除了利用多网卡同时工作来提高网络速度以外,还有可以通过NIC组合实现不同网卡之间的负载均衡(Loadbalancing)和网卡冗余(Faulttolerance)。
NICTeaming模式有三种
•静态成组(StaticTeaming)这是一种依赖于对交换机(Switch-dependent)的组合方式,要求交换机的支持,并且成员网卡不能分散到不同的交换机上。
可以参考下图:
4.1.1建立NIC组合
•NIC组合可以与windowsserver2012中的大部分网络功能兼容,但是如果是SR-IOV、远程直接数据存取技术(RDMA)和TCPChimmey功能,NIC组合是不支持的、NIC组合可以支持不同品牌网卡进行组合,但是在每一个小组中,最多支持32个网口作为1个组。
4.1.2NIC组合属性设置
(1)成组模式
•静态成组:
这是一种依赖于对交换机(Switch-dependent)的组合方式,要求交换机的支持,并且成员网卡不能分散到不同的交换机上,网卡可以工作于不同的速度。
一般情况下,服务器级别的交换机通常支持此模式
•交换机独立:
网卡组合不需要交换机的参与,这样网卡可以连接到不同的交换机上,从交换机这个级别开始高可用。
这种组合方式适用不支持网卡组合的交换机,由WindowsServer2012来完成相应的处理工作
•LACA动态组合:
类似静态成组,需要先在交换机中启用LACP(linkaggregationcontrolprotocol),会把多块网卡合并成一个逻辑的线路,这种组合方式的速度是最快的。
LACP原本用于交换机和交换机之间的链路聚合,启用了LACP协议的两台交换机会相互发送LACP协商报文,当发现两者之间有多条可用链路的时候,自动将这些链路组合成一条带宽更宽的逻辑链路,从而利用负载均衡来实现加宽交换机间的链路带宽的目的。
(2)负载平衡模式
•地址哈希:
一种基于哈希算法的处理负载平衡的模式,可以指定哈希函数的输入,包括源和目的MAC地址、源和目的IP地址、源和目的TCP端口、
•Hyper-v端口:
与无法控制的地址哈希相比,这种方式效率更高,数据会通过绑定虚拟网卡的不同物理网卡传输,同时这种绑定是基于每个虚拟网卡,而不是每台虚拟机的。
如果是使用Hyper-V外部虚拟交换机建议选择这种方式。
•动态:
这种方式是在WindowsServer2012R2中新引入的方式,也是最优化的方式,数据会被平分到所有的成员网卡上,最大效率的利用带宽。
(3)备用适配器:
可以让其中的一个网卡当备用网卡;也可以让所有网卡都处于活动状态。
(4)模式设置:
使用powershell更改NIC组合的模式:
4.2.3增加或减少NIC组合的网卡
在实际生产环境中,NIC组合内的网卡可以增加或减少。
可以在“适配器和接口”界面中选择独立的适配器进行增加或者删除。
4.2.4NIC组合备用适配器状态
•在完成NIC组合后,所有网卡都处于active状态,如果将模式调准为active/standby,则会有一张网卡在待命,其他网卡在运行,这样可以降低网卡故障的几率。
但active/standby有切换的时间。
•只有在“独立模式”下才可以设置active/standby模式
4.2.5VLANID管理
NIC组合也支持VLANID,NIC可以包括一个朱VLAN,多个辅助VLAN,但在图形界面下只能设置主VLAN。
4.2.6Hyper-v使用NIC组合
Hyper-v可以使用外部虚拟交换机连接NIC组合,这样可以增加虚拟交换机的网络带宽,增强虚拟交换机的网络通讯能力。
另外可以在虚拟机中采用NIC组合,但虚拟机必须安装windowsserver2012,并且虚拟机至少需要两块虚拟网卡,这两块网卡分贝在不同的外部虚拟交换机上。
4.3PVLAN
传统VLAN:
每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听,但传统VLAN局限主要有:
1.VLAN的限制:
交换机固有的VLAN数目的限制;
2.复杂的STP:
对于每个VLAN,每个相关的SpanningTree的拓扑都需要管理;
3.IP地址的紧缺:
IP子网的划分势必造成一些IP地址的浪费;
4.路由的限制:
每个子网都需要相应的默认网关的配置。
PVLAN简介:
PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN不需要多个VLAN和IP子网就能提供具备二层数据通信安全性的连接,所有的用户都接入PVLAN,从而实现了所有用户与默认网关的连接,而与PVLAN内的其它用户没有任何访问。
PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。
这样即使同一VLAN中的用户相互之间也不会受到广播的影响
PVLAN的2种VLAN
•主要VLAN(PrimaryVLAN):
主VLAN将VLAN分成若干个小组,所有的辅助PVLAN都在VLAN中,主VLAN可以和所有与他关联的隔离VLAN、团体VLAN进行通讯,它把流量从混杂端口传送到隔离、团体和同一个VLAN内部的其它主要混杂端口。
•辅助VLAN(SecondaryVLAN):
辅助VLAN只存在于主VLAN中,每个辅助VLAN都有一个和他相关的VLANID,这些数据包通过标记的ID进行通讯。
交换机将这些相关的PVLAN进行隔离,将每个VLANID的包分成隔离VLAN和团体VLAN。
辅助VLAN的两种类型;
•隔离VLAN(IsolatedVLAN):
把流量从隔离端口传送到一个混杂端口。
隔离VLAN中的端口,使其不能与PVLAN(另一个团体VLAN端口或相同隔离VLAN内的端口)内部的任何其它端口进行第2层通信。
若要与其它端口通信,则必须穿越混杂端口。
•团体VLAN(CommunityVLAN):
在相同团体VLAN内部的团体端口之间传送流量并传送到混杂端口,团体VLAN内的端口可以在第2层彼此通信(只是在相同团体VLAN内部),但是不能与其它团体或隔离VLAN的端口进行通信。
若要与其它端口进行通信,则必须穿越混杂端口。
PVLAN的端口类型:
•混杂端口(Promiscuous Port):
隶属于¡°Ö÷ VLAN¡±,一个混杂端口可以与所有接口通信,包括PVLAN内的隔离和团体端口;混杂端口的功能是在团体和隔离的VLAN端口之间传递流量。
•主机端口(Host Port):
隶属于¡°¸¨ÖúVLAN¡±,由于¡°辅助VLAN¡±具有两种属性,那么主机端口依 ¡°¸¨Öú VLAN¡±属性的不同也有两种分类:
•隔离端口(Isolated Port):
它与PVLAN内的所有其它端口相分离,除混杂端口外;来源于隔离端口的流量仅仅传送给混杂端口。
•团体端口(Community Port):
它在逻辑上把相同区域内部的各个端口和混杂端口结合到一起,流量可以在它们 之间传送。
三种SecondaryPVLAN的类型:
混杂(Promiscuous)VLAN:
属于Promiscuous的虚拟机E和F,可以和同属于一个PrimaryVLAN的任何设备通讯。
Promiscuous的PVLANID和PrimaryVLANID是一样的。
在上图中都是5
团体(Community)VLAN:
同属于CommunityPVLAN的虚拟机A和B之间可以通讯,可是他们不能和除了PromiscuousPVLAN之外的设备通讯
隔离(Isolated)VLAN:
同属于IsolatedPVLAN的虚拟机C和D之间不可以通讯,可是他们不能和除了PromiscuousPVLAN之外的设备通讯
通信范围
•primaryVLAN:
可以和所有他所关联的isolatedVLAN、communityVLAN通信。
•communityVLAN:
可以同那些处于相同communityVLAN内的communityport通信,也可以与pVLAN中的promiscuous端口通信。
(每个pVLAN可以有多个communityVLAN)
•isolatedVLAN:
不可以和处于相同isolatedVLAN内的其它isolatedport通信,只可以与promiscuous端口通信。
(每个pVLAN中只能有一个isolatedVLAN)
pVLAN当中使用的一些规则:
1.一个“PrimaryVLAN¡±当中至少有1个“SecondaryVLAN¡±,没有上限。
2.一个“PrimaryVLAN¡±当中只能有1个“IsolatedVLAN¡±,可以有多个“CommunityVLAN¡±。
3.不同“PrimaryVLAN¡±之间的任何端口都不能互相通信(这里“互相通信”是指二层连通性)。
4.¡°Isolated端口”只能与“混杂端口”通信,除此之外不能与任何其他端口通信。
5.¡°Community端口”可以和“混杂端口”通信,也可以和同一“CommunityVLAN¡±当中的其它物理端口进行通信,除此之外不能和其他端口通信。
情景一:
ij公司的DMZ内有很多虚拟机和物理设备,担心某个设备被入侵后会危及其他设备。
PVLAN是一个很合适的解决方案。
VM2和VM3是同一个应用的两个虚拟机。
把它们放入CommunityPVLAN可以保证它们之间的通讯。
在物理交换机上也设置好PVLAN,并把相关路由器或者防火墙也接入属于同一个PrimaryVLAN的PromiscuousPVLAN. 这样VM2和VM3可以和路由器、防火墙通讯,从而可以和DMZ之外的设备通讯。
但是它们不可以和同属于DMZ内的VM1通讯。
情景二:
某公司需要搭建一个测试环境,希望与实际生产环境的设置一致。
这难免需要相对复杂的VLAN隔离。
通过PVLAN方案,在PrimaryVLAN70下面分出三个PrivateVLAN 10,20和30. 也可以实现隔离的目的。
模拟了生产环境中的SecureZone、productionZone和WorkstationZone.
4.3.2在物理交换机上创建PVLAN
•思科6500支持所有的PVLAN特性
•思科4500不支持团体VLAN
•低端交换机只支持隔离端口特性
Trunk
与VlAN一样,PVLAN可以跨越多个交换机。
一个中继端口承载主VLAN和辅助VLAN到相邻交换机之间的通讯。
中继端口把PVLAN当作其他任何一个VLAN来处理。
1.标准Trunk:
标准trunk对待PVLAN和对待普通VLAN是一样的,所穿过的中间设备都要配置PVLAN。
标准trunk传输主VLAN和辅助VLAN流量。
这种情况要求所有的交换机都支持PVLAN,而且两边必须手工配置上相同的PVLAN,否则就会丢弃数据报。
2.PVLANTrunk接口:
一种是隔离trunk端口,隔离trunk端口仅传输辅助端口的流量;第二种是混杂trunk端口,传输混杂模式的流量并可携带多个主VLAN。
4.3.3在windowsserver2012中创建PVLAN
•在windowsserver2012中创建的PVLAN要和物理交换机上的PVLAN相对应,否则就无法进行通信。
•创建PVLAN无法在图形界面下完成。
•
4.4portaccessControllist
•ACLs(portaccessControllist)是端口访问控制列表,可以控制进入网络的流量。
•在windowsserver2012中,可以通过ACLs来控制虚拟机的网络流量。
•需要在powershell命令来管理虚拟机流量。
-VMNetworkAdapterAcl
4.5SR-IOV
SR-IOV技术是一种基于硬件的虚拟化解决方案,可提高性能和可伸缩性。
SR-IOV标准允许在虚拟机之间高效共享PCIe(PeripheralComponentInterconnectExpress,快速外设组件互连)设备,并且它是在硬件中实现的,可以获得能够与本机性能媲美的I/O性能。
SR-IOV规范定义了新的标准,根据该标准,创建的新设备可允许将虚拟机直接连接到I/O设备。
µ¥¸öI/O资源可由许多虚拟机共享。
共享的设备将提供专用的资源,并且还使用共享的通用资源。
这样,每个虚拟机都可访问唯一的资源。
因此,启用了SR-IOV并且具有适当的硬件和OS支持的PCIe设备(例如以太网端口)可以显示为多个单独的物理设备,每个都具有自己的PCIe配置空间。
SR-IOV中的两种新功能类型是:
•物理功能(PhysicalFunction,PF)用于支持SR-IOV功能的PCI功能,如SR-IOV规范中定义。
PF包含SR-IOV功能结构,用于管理SR-IOV功能。
PF是全功能的PCIe功能,可以像其他任何PCIe设备一样进行发现、管理和处理。
PF拥有完全配置资源,可以用于配置或控制PCIe设备。
•虚拟功能(VirtualFunction,VF)与物理功能关联的一种功能。
VF是一种轻量级PCIe功能,可以与物理功能以及与同一物理功能关联的其他VF共享一个或多个物理资源。
VF仅允许拥有用于其自身行为的配置资源。
ÿ¸öSR-IOV设备都可有一个物理功能(PhysicalFunction,PF),并且每个PF最多可有64,000个与其关联的虚拟功能(VirtualFunction,VF)。
PF可以通过寄存器创建VF,这些寄存器设计有专用于此目的的属性。
SR-IOV技术
本章实验:
实验1:
配置NIC组合
1.建立NIC组合
2.更改NIC组合的模式
3.NIC组合备用适配器状态
4.VLANID管理
实验2:
创建PVLAN
1.在物理交换机上创建PVLAN
2.在windowsserver2012中创建PVLAN
实验3:
ACLs
1.使用ACLs控制虚拟机
实验4:
启用SR-IOV
2.在虚拟机上启用SR-IOV
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 功能 设置