Windows Server 8 Hyper-V. Виртуальный сетевой коммутатор


Расширяемый виртуальный сетевой коммутатор в Hyper-V является программно-управляемым Layer-2 коммутатором с открытым API для расширения возможностей партнёрами. Сегодня мы рассмотрим архитектуру и базовые возможности коммутатора, а завтра поговорим о различных программных расширениях, которые готовят партнёры. Схематично виртуальный коммутатор Hyper-V можно себе представить следующим образом:

 

Базовыми возможностями сетевого коммутатора Hyper-V являются:

  • Возможность изоляции виртуальных машин путём создания частных виртуальных сетей (PVLANs)
  • Защита от ARP Spoofing атак
  • Защита от DHCP Snooping атак
  • Изоляция и ограничение пропускной способности портов коммутатора
  • Поддержка VLAN Trunking для виртуальных машин
  • Мониторинг трафика
  • Управление через PowerShell и WMI

Рассмотрим эти возможности более подробно.

Изоляция виртуальных машин и частные виртуальные сети

Традиционно виртуальные сети (VLANs) используются для физического разделения сети на изолированные группы, которым необходим доступ к единой плоской сети. Windows Server 8 предоставляет технологию частных виртуальных сетей (PVLANs), позволяющую изолировать группы виртуальных машин в пределах одной VLAN.

Для того чтобы изолировать одну виртуальную машину от других, виртуальной машине в частой виртуальной сети можно задать основной VLAN ID и один или несколько вторичных VLAN ID. Для каждого порта PVLAN существует три режима работы, определяющие с кем машина, подключенная к данному порту, может общаться по сети:

Режим работы PVLAN

Описание

Isolated

В изолированном режиме пакеты не покидают порта коммутатора.

Promiscuous

В прозрачном режиме порт обменивается пакетами с любыми другими портами с тем же основным VLAN ID.

Community

В общем режиме порт обменивается пакетами с другими портами с тем же основным и вторичным VLAN ID.

Пример ниже иллюстрирует схему с основным VLAN ID равным 2:

 

В графический интерфейс настройка в Beta версии не вынесена, настраивается через PowerShell

 

Защита от атак ARP/ND Spoofing

Я уже описывал схему работы защиты от ARP Spoofing атак для Hyper-V в Windows Server 2008 R2 Service Pack 1. Там некий конфигурационный параметр задавался через WMI/VBScript. В Windows Server 8 вы можете просто включить данную опцию в графическом интерфейсе.

Аналогичо работает защита от ND Spoofing атак для IPv6.

Защита от ложных DHCP

В любой физической сети нежданное появление DHCP сервера может привести к проблемам. Существует сценарии атак, которые выдают серверам некорректные адреса маршрутизаторов, прослушивая, таким образом, весь трафик. Для защиты от таких проблем виртуальный коммутатор Hyper-V запрещает DHCP-ответы с неавторизованных портов.

 

Настройки безопасности и изоляции портов

Сетевой коммутатор Hyper-V в Windows Server 8 позволяет задавать права доступа для портов через ACLs. Для каждого порта возможно создание нескольких ACL, регламентирующих IPv4, IPv6 и MAC адреса отправителя и получателя, и одно их трёх действий: разрешить, запретить и измерять (meter). Последнее используется, например, для мониторинга Интернет трафика, или трафика до системы хранения данных.

VLAN Trunking для виртуальных машин

В Windows Server 2008 R2 сетевой интерфейс виртуальной машины мог быть подключён лишь к одному VLAN. Windows Server 8 Hyper-V позволяет настроить сетевой VLAN Trunk для сетевого интерфейса виртуальной машины, чтобы она могла работать с несколькими VLAN. В Beta версии это можно сделать, выполнив команду PowerShell: Get-VMNetworkAdapter -VMName AlexServer2 | Set-VMNetworkAdapterVlan -Trunk -AllowedVlanIdList “10,20” -NativeVlanId 0

Мониторинг трафика

Многие физические коммутаторы позволяют настроить мониторинг сетевого трафика для любого сетевого порта. Виртуальный коммутатор Hyper-V теперь также имеет эту функцию. Вы можете включить зеркалирование трафика для любого порта на другой порт, где, возможно, будет использоваться специальное ПО для анализа подозрительной активности.

Управление через PowerShell и WMI

В Windows Server 8 Hyper-V для управления возможностями виртуального коммутатора существует набор команд для создания, настройки, мониторинга и диагностики. Эти команды можно исполнять удалённо, они же дают партнерам возможность создания своих средств управления виртуальными коммутаторами.

 

В следующей заметке мы поговорим о различных партнерских расширениях виртуального коммутатора Hyper-V.

Comments (0)

Skip to main content