虛擬交換機的功能是連接網絡的不同部分——它與以太網交換機非常相似，只是增加了專門為虛擬環境提供的安全控制。虛擬交換機與集線器的不同之處在于它不會在所有端口上廣播數據包。相反，它會根據媒體訪問控制 (MAC) 地址過濾和轉發選擇性數據流量，從而縮短整體網絡響應時間。在本文中，我們將解釋 Hyper-V 虛擬交換機提供的功能，并解釋使用 Hyper-V 虛擬交換機的用例。

Hyper-V 虛擬交換機定義

在虛擬化環境中，網絡層是抽象的，就像計算機和存儲層一樣。虛擬交換機將虛擬機(VM) 與虛擬網絡和物理網絡連接起來。這允許虛擬機在彼此之間以及與組織的 Intranet 和 Internet 之間交換數據流量。

在 Hyper-V 基礎結構中，Hyper-V 虛擬交換機基本上是以太網網絡交換機的軟件對應物。默認情況下，它在 Hyper-V 主機的 Hyper-V 管理器中可用。它提供強大的安全功能來隔離網段并檢查和控制數據流量。基于軟件的 Hyper-V 交換機具有高度可配置性，其功能可以通過稱為虛擬交換機擴展的插件進行擴展，從而允許第三方供應商添加其功能并增強其安全特性和網絡功能。它可以讓您執行組織的安全策略并確保遵守服務級別協議 (SLA)。

Hyper-V 虛擬交換機功能

其功能的最大好處是，與物理交換機不同，Hyper-V 交換機可以通過編程方式進行配置和管理。使用網絡設備接口規范 (NDIS) 過濾器和 Windows 過濾平臺 (WFP)，還可以通過其他插件擴展其功能和安全特性。

虛擬交換機可以通過以下方式增強 Hyper-V 環境的安全性：

• 提供針對地址解析協議 (ARP) 欺騙或鄰居發現 (ND) 欺騙的保護，其中惡意 VM 可以竊取和模擬網絡中合法 VM 的互聯網協議 (IP) 地址。
• 防止惡意 VM 將自己呈現為動態主機配置協議 (DHCP) 服務器的中間人攻擊。
• 使用端口訪問控制列表 (ACL) 根據 MA??C 地址或 IP 地址過濾數據包，允許管理員隔離網段。在多租戶環境中，管理員可以輕松地在 VLAN 內創建隔離的虛擬局域網 (VLAN)，允許或阻止 VM 與類似 VLAN 上的其他 VM 通信。
• 允許網絡管理員監控傳入和傳出的流量。
• 支持 VLAN trunk 模式，允許一個 VM 看到來自多個 VLAN 的流量。

Hyper-V 虛擬交換機還有其他幾個好處，例如指定最小保留帶寬、為 VM 設置最大帶寬上限、方便的流量監控以及顯式擁塞通知 (ECN) 標記，用于在交換機緩沖之前通知管理員資源被完全消耗。

虛擬交換機類型

Hyper-V 虛擬交換機可以配置為在三種不同模式下運行：

• 私人的。私有虛擬交換機只允許部署在同一主機上的虛擬機之間進行通信。它不允許 VM 與 Hyper-V 主機或 Hyper-V 主機外部的任何網絡進行通信。
• 內部的。在內部模式下配置的 Hyper-V 虛擬交換機的運行方式與專用虛擬交換機非常相似，不同之處在于它還允許 VM 與其 Hyper-V 主機之間進行通信。
• 外部的。外部虛擬交換機允許部署在主機上的虛擬機與外界連接。它連接到安裝在 Hyper-V 主機上的物理適配器，以便 VM 可以連接到 Hyper-V 主機外部的物理網絡。也是最常用的Hyper-V虛擬交換機模式。

專用和內部交換機模式都嚴格用于隔離流量。除非路由器或路由機制到位，否則流量永遠不會離開虛擬交換機。虛擬適配器不能直接與其他 VM 上的適配器連接；因此，外部虛擬交換機與主機上的物理適配器連接，以連接外部物理網絡。

Hyper-V 虛擬交換機用例

管理包

開發人員可以使用 Windows Management Instrumentation (WMI) 實施管理包，以查詢 Hyper-V 虛擬交換機不同端口的配置設置、功能和其他網絡統計信息。這使網絡管理員可以快速瀏覽顯示的統計數據，以便他們可以隨時了解虛擬交換機的狀態。

資源分配

通過它，網絡管理員可以以編程方式為 VM 分配資源并跟蹤帶寬使用情況和分配了虛擬機隊列 (VMQ) 或輸入/輸出虛擬化 (IOV) 通道的 VM。Hyper-V 交換機允許資源跟蹤——監控分配給每個 VM 的資源以及當前正在使用的資源。此功能對于根據所需網絡性能提供不同套餐的托管公司很有用。

安全

另一個用例涉及安全性。組織通常會為 Hyper-V 主機安裝擴展以增加安全性。安裝更新時，這些擴展的順序可能會發生變化。但是Hyper-V虛擬交換機允許管理員在升級后運行一個腳本來恢復原來的順序。

組織可以利用擴展來實施網絡策略，包括 VLAN ID 管理。在這樣的場景下，Hyper-V虛擬交換機會把管理VLAN的任務交給擴展程序。該程序可以使用 WMI 應用程序編程接口 (API) 來打開透明性，而 Hyper-V 虛擬交換機會讓 VLAN 標記通過。

Hyper-V 虛擬交換機的主要特性

以太網幀交換

Hyper-V 虛擬交換機能夠讀取以太網數據包中的 MAC 地址，并將其傳送到正確的目的地（如果它存在于虛擬交換機上）。

SR-IOV（單根 I/O 虛擬化）

SR-IOV 需要兼容的硬件，包括您的主板和物理網絡適配器。啟用后，您可以選擇將有限數量的虛擬適配器直接連接到虛擬功能——物理網絡適配器公開的特殊結構。

802.1q VLAN，接入方式

管理操作系統和虛擬機的虛擬適配器都可以分配給一個 VLAN。它只會將以太網幀傳送到同一 VLAN 內的虛擬適配器，就像物理交換機一樣。

802.1q VLAN，中繼模式

此設置僅適用于單個網絡適配器。當您在中繼模式下配置虛擬適配器時，Hyper-V 將通過完整的 802.1q 標記允許的幀。如果虛擬機中的軟件不知道如何處理帶有這些標簽的幀，則虛擬機的操作系統會將這些幀視為格式錯誤并丟棄它們。

802.1p 服務質量

802.1p 使用以太網幀的特殊部分將流量標記為屬于特定優先級組。線路上所有可以使用 802.1p 的交換機都會對其進行適當的優先級排序。

Hyper-V 服務質量

Hyper-V 的虛擬交換機有自己的服務質量，但與 802.1p 不同的是，它不會擴展到物理網絡。當您的虛擬交換機處于絕對模式時，您可以保證最小和/或限制虛擬適配器的出站速度，并且當您的交換機處于權重模式時，您可以保證適配器的最小和/或鎖定最大出站速度。

可擴展性

Microsoft 發布了一個 API，任何人都可以使用它來為 Hyper-V 虛擬交換機制作自己的過濾器驅動程序。例如，System Center Virtual Machine Manager 提供了一個支持硬件網絡虛擬化 (HNV) 的驅動程序。其他可能性包括網絡掃描工具。