uc电脑园 – 你的电脑系统管家
Windows Server 2012 中新的 Hyper-V 可扩展虚拟交换机为多租户提供了隔离和安全的能力,可提供以下新特性:
VLAN 技术传统的用于在一个物理网络中,划分子网并且隔离不同子网。WindowsServer 2012 中引入了 PVLAN 技术,与 VLAN 技术一起,可用于隔离同一个 VLAN网络中的两个虚拟机。
如果一个虚拟机不需要与其他的虚拟机通信,那么您可以使用 PVLAN 技术将它与数据中心的其它虚拟机隔离。要配置这种场景,您可以为每一个虚拟机加入一个 PVLAN,为它分配一个 VLAN ID,以及一个或多个 VLAN ID。您可以将第二个 PVLAN 配置为以下表格中列出的三种模式。这些 PVLAN 模式决定了一个虚拟机是否能够与其它虚拟机在 PVLAN 中交换数据。为了隔离一个虚拟机,您可以把它配置成隔离模式。
PVLAN 模式 描述
隔离 隔离的端口在第二层不能与其它端口实现数据包交换。
混杂 混杂端口可以与任何其他在同一主 VLAN ID 端口实现数据包交换。
通信 相同 VLAN ID 的通信端口能够在第二层实现包交换。
下图显示了 PVLAN 模式如何在共享主 VLAN ID 时隔离虚拟机
Hyper-V 的可扩展交换机提供保护,防止恶意虚拟机通过 ARP 欺骗(也称为 IPv4 中的 ARP 中毒)窃取其他虚拟机的 IP 地址。这种类型的中间人攻击,恶意虚拟机发送假冒的 ARP 报文,将自己的 MAC 地址关联到一个并不拥有的 IP 地址。不知情的虚拟机发送网络流量到这个 IP 的恶意的虚拟机 MAC 地址,而不是针对该 IP 地址的网络流量预期的目标。对于 IPv6 ,Windows Server 2012 为邻居发现欺骗(ND)提供了同等的保护。
在 DHCP 环境中,恶意的 DHCP 服务器会干扰 DHCP 客户端的请求,并提供错误的地址信息。恶意 DHCP 服务器会导致网络流量在发送到合法的目的地之前被路由到恶意的中介嗅探器。为保护和避免这种中间人攻击,Hyper-V 管理员可以指定哪一个Hyper-V 扩展虚拟交换机的端口可以连接到 DHCP 服务器。DHCP 服务器发出到其它的 Hyper-V 扩展交换机端口的通讯将被自动丢弃。Hyper-V 扩展虚拟交换机现在就能够保护和避免恶意的 DHCP 服务器尝试提供 IP 地址,导致流量被重新路由。
在 Hyper-V 可扩展虚拟交换机中,端口的 ACL 为一个虚拟端口提供了网络隔离和流量计量上的机制。通过使用端口的 ACL,可以依据 IP 地址或 MAC 地址,决定虚拟机可以(或不能)进行通信。例如,您可以使用端口的 ACL 执行隔离虚拟机允许它仅与Internet 进行通信,或只用一套预定义的地址。通过使用的计量能力,可以测量一个特定的 IP 地址或 MAC 地址发送或接收的流量,它可以让你的报告发送或接收从互联网或网络存储阵列的网络流量。
您可以为一个虚拟端口配置多个端口 ACL。每个端口的 ACL 包含源或目的地的网络地址和许可,拒绝或计量操作。计量功能,还提供流量试图从禁区(“拒绝”)地址或从一个虚拟机实例的数量信息。以下端口的 ACL 选项可供选择:
VLAN 使一组主机或虚拟机看起来是在同一个本地局域网,使其可独立于自己的实际物理位置。在 Hyper-V 可扩展虚拟交换机的 trunk 模式中,来自多个 VLAN 的流量可以直接汇聚到虚拟机中的单一网络适配器,而以前只有一个 VLAN 接收流量。因此,来自不同 VLAN 的流量可以整合,一个虚拟机可以侦听多个 VLAN 流量。此功能可以帮助你规整网络流量和执行多租户数据中心的安全。
许多物理交换机可以监视流经交换机上的特定虚拟机的特定端口的流量。Hyper-V 可扩展交换机也提供了这个端口的监测。管理员可以指定应监视虚拟端口和虚拟端口监控的流量应提供额外的处理。例如,安全监控虚拟机可以寻找异常模式,在通过特定交换机上的其他虚拟机的流量。此外,管理员可以通过监测特定虚拟交换机端口的流量诊断网络连接问题。
您可以使用 Hyper-V 可扩展交换机的 Windows PowerShell 3.0 命令创建命令行工具,或是用于实现安装、配置、监视和排错的自动化脚本。这些命令行工具可以远程运行。Windows PowerShell 还允许第三方建立自己的工具来管理 Hyper-V 可扩展交换机。
uc电脑园提供的技术方案或与您产品的实际情况有所差异,您需在完整阅读方案并知晓其提示风险的情况下谨慎操作,避免造成任何损失。
未知的网友