VDI中虚拟交换机的作用是什么？

虚拟交换机的功能是连接网络的不同部分——它与以太网交换机非常相似，只是增加了专门为虚拟环境提供的安全控制。虚拟交换机与集线器的不同之处在于它不会在所有端口上广播数据包。相反，它会根据媒体访问控制 (MAC) 地址过滤和转发选择性数据流量，从而缩短整体网络响应时间。在本文中，我们将解释 Hyper-V 虚拟交换机提供的功能，并解释使用 Hyper-V 虚拟交换机的用例。

Hyper-V 虚拟交换机定义

在虚拟化环境中，网络层是抽象的，就像计算机和存储层一样。虚拟交换机将虚拟机(VM) 与虚拟网络和物理网络连接起来。这允许虚拟机在彼此之间以及与组织的 Intranet 和 Internet 之间交换数据流量。

在 Hyper-V 基础结构中，Hyper-V 虚拟交换机基本上是以太网网络交换机的软件对应物。默认情况下，它在 Hyper-V 主机的 Hyper-V 管理器中可用。它提供强大的安全功能来隔离网段并检查和控制数据流量。基于软件的 Hyper-V 交换机具有高度可配置性，其功能可以通过称为虚拟交换机扩展的插件进行扩展，从而允许第三方供应商添加其功能并增强其安全特性和网络功能。它可以让您执行组织的安全策略并确保遵守服务级别协议 (SLA)。

Hyper-V 虚拟交换机功能

其功能的最大好处是，与物理交换机不同，Hyper-V 交换机可以通过编程方式进行配置和管理。使用网络设备接口规范 (NDIS) 过滤器和 Windows 过滤平台 (WFP)，还可以通过其他插件扩展其功能和安全特性。

虚拟交换机可以通过以下方式增强 Hyper-V 环境的安全性：

• 提供针对地址解析协议 (ARP) 欺骗或邻居发现 (ND) 欺骗的保护，其中恶意 VM 可以窃取和模拟网络中合法 VM 的互联网协议 (IP) 地址。

• 防止恶意 VM 将自己呈现为动态主机配置协议 (DHCP) 服务器的中间人攻击。

• 使用端口访问控制列表 (ACL) 根据 MAC 地址或 IP 地址过滤数据包，允许管理员隔离网段。在多租户环境中，管理员可以轻松地在 VLAN 内创建隔离的虚拟局域网 (VLAN)，允许或阻止 VM 与类似 VLAN 上的其他 VM 通信。

• 允许网络管理员监控传入和传出的流量。

• 支持 VLAN trunk 模式，允许一个 VM 看到来自多个 VLAN 的流量。

Hyper-V 虚拟交换机还有其他几个好处，例如指定最小保留带宽、为 VM 设置最大带宽上限、方便的流量监控以及显式拥塞通知 (ECN) 标记，用于在交换机缓冲之前通知管理员资源被完全消耗。

虚拟交换机类型

Hyper-V 虚拟交换机可以配置为在三种不同模式下运行：

• 私人的。私有虚拟交换机只允许部署在同一主机上的虚拟机之间进行通信。它不允许 VM 与 Hyper-V 主机或 Hyper-V 主机外部的任何网络进行通信。

• 内部的。在内部模式下配置的 Hyper-V 虚拟交换机的运行方式与专用虚拟交换机非常相似，不同之处在于它还允许 VM 与其 Hyper-V 主机之间进行通信。

• 外部的。外部虚拟交换机允许部署在主机上的虚拟机与外界连接。它连接到安装在 Hyper-V 主机上的物理适配器，以便 VM 可以连接到 Hyper-V 主机外部的物理网络。也是最常用的Hyper-V虚拟交换机模式。

专用和内部交换机模式都严格用于隔离流量。除非路由器或路由机制到位，否则流量永远不会离开虚拟交换机。虚拟适配器不能直接与其他 VM 上的适配器连接；因此，外部虚拟交换机与主机上的物理适配器连接，以连接外部物理网络。

Hyper-V 虚拟交换机用例

管理包

开发人员可以使用 Windows Management InstrumentatiON (WMI) 实施管理包，以查询 Hyper-V 虚拟交换机不同端口的配置设置、功能和其他网络统计信息。这使网络管理员可以快速浏览显示的统计数据，以便他们可以随时了解虚拟交换机的状态。

资源分配

通过它，网络管理员可以以编程方式为 VM 分配资源并跟踪带宽使用情况和分配了虚拟机队列 (VMQ) 或输入/输出虚拟化 (IOV) 通道的 VM。Hyper-V 交换机允许资源跟踪——监控分配给每个 VM 的资源以及当前正在使用的资源。此功能对于根据所需网络性能提供不同套餐的托管公司很有用。

安全

另一个用例涉及安全性。组织通常会为 Hyper-V 主机安装扩展以增加安全性。安装更新时，这些扩展的顺序可能会发生变化。但是Hyper-V虚拟交换机允许管理员在升级后运行一个脚本来恢复原来的顺序。

组织可以利用扩展来实施网络策略，包括 VLAN ID 管理。在这样的场景下，Hyper-V虚拟交换机会把管理VLAN的任务交给扩展程序。该程序可以使用 WMI 应用程序编程接口 (API) 来打开透明性，而 Hyper-V 虚拟交换机会让 VLAN 标记通过。

Hyper-V 虚拟交换机的主要特性

以太网帧交换

Hyper-V 虚拟交换机能够读取以太网数据包中的 MAC 地址，并将其传送到正确的目的地（如果它存在于虚拟交换机上）。

SR-IOV（单根 I/O 虚拟化）

SR-IOV 需要兼容的硬件，包括您的主板和物理网络适配器。启用后，您可以选择将有限数量的虚拟适配器直接连接到虚拟功能——物理网络适配器公开的特殊结构。

802.1q VLAN，接入方式

管理操作系统和虚拟机的虚拟适配器都可以分配给一个 VLAN。它只会将以太网帧传送到同一 VLAN 内的虚拟适配器，就像物理交换机一样。

802.1q VLAN，中继模式

此设置仅适用于单个网络适配器。当您在中继模式下配置虚拟适配器时，Hyper-V 将通过完整的 802.1q 标记允许的帧。如果虚拟机中的软件不知道如何处理带有这些标签的帧，则虚拟机的操作系统会将这些帧视为格式错误并丢弃它们。

802.1p 服务质量

802.1p 使用以太网帧的特殊部分将流量标记为属于特定优先级组。线路上所有可以使用 802.1p 的交换机都会对其进行适当的优先级排序。

Hyper-V 服务质量

Hyper-V 的虚拟交换机有自己的服务质量，但与 802.1p 不同的是，它不会扩展到物理网络。当您的虚拟交换机处于绝对模式时，您可以保证最小和/或限制虚拟适配器的出站速度，并且当您的交换机处于权重模式时，您可以保证适配器的最小和/或锁定最大出站速度。

可扩展性

Microsoft 发布了一个 API，任何人都可以使用它来为 Hyper-V 虚拟交换机制作自己的过滤器驱动程序。例如，System Center Virtual Machine Manager 提供了一个支持硬件网络虚拟化 (HNV) 的驱动程序。其他可能性包括网络扫描工具。