Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Přehled filtrování virtuálních přepínačů
Filtrování virtuálních přepínačů je podporováno ve Windows 8 a novějších verzích Windows.
Tato funkce WFP umožňuje filtrování polí hlaviček MAC, hlaviček IP a horních portů protokolu a také polí specifických pro virtuální přepínač, jako jsou virtuální port (VPort) a identifikátor virtuálního počítače (ID virtuálního počítače). Tyto vrstvy se vyvolávají pro každý paket u všech paketů procházejících virtuálním přepínačem. Tyto vrstvy jsou přístupné z filtru rozšíření virtuálního přepínače – typ ovladače LWF (Lightweight Filter) NDIS.
Ovladač typu callout volá funkci FwpsvSwitchEventsSubscribe0 pro registraci vstupních bodů zpětného volání pro události vrstvy virtuálního přepínače.
Vstupní body pro funkce oznámení zpětného volání jsou určeny ve struktuře FWPS_VSWITCH_EVENT_DISPATCH_TABLE0. Funkce zpětného volání, které jsou k dispozici, zahrnují:
- FWPS_VSWITCH_FILTER_ENGINE_REORDER_CALLBACK0
- FWPS_VSWITCH_INTERFACE_EVENT_CALLBACK0
- FWPS_VSWITCH_LIFETIME_EVENT_CALLBACK0
- FWPS_VSWITCH_POLICY_EVENT_CALLBACK0
- FWPS_VSWITCH_PORT_EVENT_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_RESTORE_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_SAVE_CALLBACK0
Výčet FWPS_VSWITCH_EVENT_TYPE definuje hodnoty pro eventType parametru funkcí oznámení virtuálního přepínače.
Ovladač upozornění musí nakonec volat FwpsvSwitchEventsUnsubscribe0, aby uvolnil systémové prostředky.
Pokud ovladač výzvy vrátí STATUS_PENDING z funkce oznámení WFP, WFP vrátí STATUS_PENDING požadavkovému handleru OID. Ovladač popisku musí použít funkci FwpsvSwitchNotifyComplete0 k dokončení probíhající operace. Po volání FwpsvSwitchNotifyComplete0 WFP zavolá funkci NdisFOidRequestComplete k dokončení identifikátoru pro virtuální přepínač.
Zpětná volání by neměla přidávat ani odstraňovat filtry WFP synchronně v rámci notifikačních funkcí. Kromě toho, pokud funkce oznámení umožňuje zpětnému volání vrátit STATUS_PENDING a funkce calloutu vrátí STATUS_PENDING, funkce calloutu by neměla před dokončením procesu oznámení přidávat ani odstraňovat filtry WFP.
Vrstva a pole filtru virtuálního přepínače WFP
Identifikátory vrstvy filtrování za běhu, které zahrnují filtrování virtuálních přepínačů:
- FWPS_LAYER_INGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_EGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V6
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V6
Identifikátory datových polí pro filtrování virtuálních přepínačů:
- FWPS_FIELDS_EGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V6
- FWPS_FIELDS_INGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V6
Pokyny pro autory volání virtuálního přepínače WFP
Provoz na portu 0
U vyvolání virtuálního přepínače WFP je provoz z portu 0 (výchozí ID portu) důvěryhodný a neměl by být filtrován. Důvodem je, že provoz přes port 0 obvykle pochází z jiných rozšíření v zásobníku ovladačů, a proto je v datové cestě považován za privilegovaný a důvěryhodný. Rozšíření virtuálních přepínačů budou střídmě používat port 0 pro situace, jako je například původ řídicího paketu, který by neměl být filtrován a odmítnut všemi podkladovými rozšířeními. Pro další informace o úpravě zdrojového portu rozšiřitelného přepínače Hyper-V si přečtěte Úprava dat zdrojového portu přepínače v paketu.
Pravidla přiřazování calloutů
Při definování odpovídajícího pravidla pro filtrování by výzvy virtuálních přepínačů neměly používat adresu MAC pro srovnání. Adresy MAC se můžou změnit za běhu a některé porty můžou generovat provoz z více adres MAC. Místo toho by popisky měly používat trvalejší shodné pravidlo, například ID NIC, které se nezmění.
Koexistence virtualizace vstupně-výstupních operací (IOV) a WFP
WFP nelze povolit na přepínači IOV a je blokován operačním systémem, pokud je proveden pokus o jeho povolení.
Povolení nebo zakázání služby WFP
Instalační programy pro volání virtuálních přepínačů WFP by neměly měnit stav aktivace rozšíření WFP; to znamená, že by neměly povolit ani zakázat samotné WFP.