Hyper-v 3.0虚拟网络

1、外部虚拟交换机
外部虚拟交换机组成结构如图4-1所示，外部虚拟交换机的作用是将一个物理网卡和虚拟网络连接起来，即负责虚拟网络和物理网络之间的连接。



外部虚拟网卡直接与物理网络相连接，从而使虚拟机就像一台物理机器。每个虚拟网卡都有自己的MAC地址和网络协议，其支持IPv4和IPv6两种IP地址。另外每一个虚拟网卡都是完全独立，包括主操作系统本身。由于Windows Server 2012中具有VLAN功能，所以一般情况下不需要建立多个外部虚拟交换机。

在一般情况下，我们希望隔离虚拟网络和主操作系统的管理网络，让它们使用各自的物理网卡。如果主机的物理网口数量有限，管理操作系统可以共享物理网络连接给虚拟交换机，这样会让管理操作系统通过虚拟交换机连接到外部网络。如果管理操作系统通过虚拟交换机连接到外部网络，则在主操作系统的网络连接中会同时出现虚拟网卡名称和Hyper-V的虚拟网卡的设备名称，管理操作系统的虚拟网卡的物理网卡一样需要进行配置。

Hyper-v管理员可以选择操作系统连接到虚拟交换机网络或者直接连接到物理网卡，如果管理员不考虑别的网络设置，只需要虚拟机之间的网络通信，则需要一个私有网络交换机。

2、专用虚拟交换机
专用网络交换机的结构如图4-2所示，这种类型的交换机没有连接管理操作系统网络或者物理网络，它是完全隔离的，因此，任何连接到专用虚拟网络的虚拟机也都是隔离的。但是在专用网络中的虚拟机都是可以互相通信的。



在以前的Hyper-v版本中，专用网络虚拟交换机通常用于保护敏感而无需连接到外网的虚拟机，如果一个虚拟机上运行了防火墙服务，且其具有两个网卡（一个外部的网卡，一个专用网络的网卡），并通过防火墙和路由进行接入，则防火墙具有控制路由和连接外网的作用。如果没有分布式交换机，这就意味着在一台主机中的专用网络虚拟机无法和在另一台主机中相同配置网络的虚拟机进行通信，这样就会导致一些问题：如果将虚拟机迁移到其他主机中，就难免增加了一些复杂性。如果采用新的隔离VLAN技术，可以在物理网络或者规则上保持虚拟机在一起，就可以使用新的VLAN技术，而不是使用网络端口ACL（控制访问列表）或者第三方的解决方案。这样，我们进行工作网络的隔离时就可以不使用专用网络了。

3、内部虚拟交换机
内部虚拟交换机的主要作用是隔离虚拟网络和物理网络，但是可以与管理操作系统进行通信，其具体结构如图4-3所示



内部虚拟交换机网络可以将主机操作系统和主机中所有虚拟机都放在一起，可以相互进行通信，但是无法将每个主机中的虚拟机网络连接在一起。内部虚拟机很少在生产环境中使用，一般都在实验环境下使用，因为在Windows Server 2012中一些新的功能可以实现相同的结果，而且可以在不同主机之间灵活地迁移虚拟机。

可扩展交换机
扩展交换机提供了一些扩展功能，包括Network Driver Interface Specification（网络驱动接口规范，NDIS）或者Windows File Protection（Windows文件保护驱动程序）。

在图4-4中可以看到，可以添加3种类型的Hyper-v扩展虚拟交换机。



1、Capturing Extension

NDIS过滤器捕获扩展的作用是通过虚拟交换机监控网络流量，但是它可能不会控制流量，仅将虚拟交换机监控网络流量的报告返回给中央监控程序或者管理程序。

在传统的物理数据中心里，网络管理员使用两台计算机之间的网络设备中的数据来分析网络问题，但是，当两台计算机都运行在同一主机上，而且只需要通过虚拟网络进行通信，而无需连接到物理网络的时候，这些工具就不起作用了。而Capturing Extension扩展网络、虚拟化和应用程序提供的工具，可以监控虚拟交换机自身的内部通信。这种监控是比较灵活的，因为虚拟交换机的扩展提供了一个硬件抽象，而扩展的硬件抽象不需要物理硬件那样的网络监控方案。

2、Filteng Extension

Filteng Extension可以捕获（包括Capturing Extension所做的所有事情）、修改和在虚拟交换机的数据包中插入信息，它可以丢弃数据包或者防止数据包传送到一个或者多个目的地。正如图4-4所示，Filteng Extension在Capturing Extension之前查看进入虚拟交换机的数据，而在Capturing Extension之后看到出站数据。
通过Filteng Extension，意味着使用第三方认证的扩展器可以增加丰富功能，包括带有防火墙功能的Hyper-v可扩展虚拟交换机，这适用于具有过滤功能的虚拟交换机，不再需要依靠物理防火墙设备来进行虚拟机VLAN和服务器网络的隔离。相反，可以使用Filteng Extension网络，并充分利用其软件定义网络（SDN），减少人为的参与。这使得Windows Server 2012更适合企业私有云的部署。
3、Forwareding Extension

Forwareding Extension是第三种扩展方式，是一种全方位的扩展，可以做一切转发和过滤扩展。转发扩展可以做一些别的事情，它们可以使Hyper-V虚拟交换机看起来像一个完全不同的第三方虚拟交换机，Forwareding Extension每次最先查看入站数据，最后一个查看出站数据。
对于Forwareding Extension，目前有两个解决方案：一个是大家都比较熟悉的思科公司的Nexus 100V分布式虚拟交换机，可以在Hyper-V可扩展交换机中使用，它可以使用相同的CISCO管理命令和管理工具，主要负责用于配置大型的网络环境；另一个NEC的解决方案，又称ProgrammableFlow for Hyper-V，也是一款以软件定义网络、安全和云计算的产品。通过统一管理虚拟服务器与网络、分配每一台机器的IP位址与界面编号等工作自动化，此项技术充分发挥了OpenFlow的优势，大幅降低了基础设施方面建设的难度。

NIC Teaming
NIC组合就是把同一台服务器上的多个物理网卡通过软件绑定成一个虚拟网卡，也就是说，对于外部网络而言，这台服务器只有一个可见的网卡。对于任何应用程序，以及本服务器所在的网络，这台服务器只有一个网络链接或者说只有一个可以访问的IP地址。为什么说它在Windows server 2012上不是一个新技术呢？因为目前企业里面所有服务器大约75%都使用网卡聚合，以提供聚合带宽和容错机制。网卡聚合又称负载故障切换（Load Balancing Fail Over）。不过，以前的Windows无法直接实现网卡聚合，都是通过每家网卡厂商不同的方法实施网卡聚合，而只聚合自己型号的网卡。要实现NIC组合就要求每个网卡的型号和品牌相同，NIC组合需要专用的第三方驱动程序并且配置特定网卡和驱动程序。比如说，如果服务器安装的是Intel网卡，那么就要在Intel网站上下载聚合驱动程序，以提供聚合带宽和容错机制。

微软NIC组合，又称为负载平衡故障切换（LBFO），允许多个网络适配器组合成一个，这样做的目的是可以带来带宽聚合，解决网络连接失败过程中的故障转移。利用NIC组合技术，除了多网卡同时工作来提高网络速度以外，还可以通过NIC组合实现不同网卡之间的负载均衡（Load balancing）和网卡冗余（Fault tolerance）。

Windows Server 2012中的NIC组合也可以在虚拟机中使用，这就让虚拟机可以连接到多个Hyper-v交换机的虚拟网络中，而且即使交换机中的某一根网卡中断连接，虚拟机也能正常进行通信。但是，如果使用单根I/O虚拟化（SR-IOV）的功能，Hyper-V交换机无法进行保护，因为单根I/O虚拟化流量不会进出Hyper-V交换机。系统管理员可以使用NIC组合都可以从1个或者2个SR-IOV网卡安装虚拟机功能，之后如果网卡中断连接，虚拟机可以从主的SR-IOV转移到备份的SR-IOV。或者虚拟机可能有一个来自其中一张网卡的SR-IOV功能，以及连接到另一个交换机的没有SR-IOV功能的网卡，如果虚拟机SR-IOV功能网卡中断，该虚拟机流量可以在不失去连接能力的情况下，容错到另一个交换机。因此，在虚拟机中，网卡之间的容错转移可能导致另外一张网卡的MAC地址产生流量，这样，如果使用NIC组合功能，虚拟机相关的每个Hyper-V交换机都必须允许MAC欺骗，或者必须使用Set-VmNetworkAdapter Powershell命令设定参数AllowTeaming=On