Virtueller Hyper-V-Switch

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

In diesem Artikel finden Sie einen Überblick über den virtuellen Hyper-V-Switch, mit dem Sie virtuelle Computer (VMs) mit Netzwerken verbinden können, die außerhalb des Hyper-V-Hosts liegen, einschließlich des Intranets und des Internets Ihrer Organisation.

Sie können auch eine Verbindung zu virtuellen Netzwerken auf dem Server herstellen, auf dem Hyper-V ausgeführt wird, wenn Sie Software-Defined Networking (SDN) einsetzen.

Hinweis

Zusätzlich zu diesem Artikel ist die folgende Dokumentation zum virtuellen Hyper-V-Switch verfügbar.

Weitere Informationen zu anderen Netzwerktechnologien finden Sie unter Dokumentation zu Networking.

Beim virtuellen Hyper-V-Switch handelt es sich um einen softwarebasierten Schicht-2-Ethernet-Netzwerkswitch, der im Hyper-V-Manager verfügbar ist, wenn Sie die Hyper-V-Serverrolle installieren.

Der virtuelle Hyper-V-Switch umfasst programmgesteuert verwaltete und erweiterbare Funktionen zum Verbinden virtueller Computer mit virtuellen Netzwerken und dem physischen Netzwerk. Außerdem bietet der virtuelle Hyper-V-Switch Richtlinienerzwingung für Sicherheits-, Isolations- und Dienststufen.

Hinweis

Der virtuelle Hyper-V-Switch unterstützt nur Ethernet und keine anderen drahtgebundenen lokalen Netzwerk (LAN)-Technologien, wie z. B. Infiniband und Fibre Channel.

Hyper-V-Switch bietet Funktionen für Mandantenisolation, Datenverkehrsstrukturierung, Schutz vor schädlichen virtuellen Computern und vereinfachte Problembehandlung.

Durch die integrierte Unterstützung von NDIS-Filtertreibern (Network Device Interface Specification) und WFP-Callouttreibern (Windows Filtering Platform) ermöglicht der virtuelle Hyper-V-Switch unabhängigen Softwareherstellern (Independent Software Vendors, ISVs) das Erstellen erweiterbarer Plug-Ins (bekannt als Erweiterungen für virtuelle Switches), die verbesserte Netzwerk- und Sicherheitsfunktionen bieten. Erweiterungen für virtuelle Switches, die Sie dem virtuellen Hyper-V-Switch hinzufügen, werden im Manager für virtuelle Switches des Hyper-V-Managers angezeigt.

In der folgenden Illustration verfügt eine VM über einen virtuellen Netzwerkanschluss, der über einen Switchport an den virtuellen Hyper-V-Switch angeschlossen ist.

Virtual Switch connections

Die Funktionen des virtuellen Hyper-V-Switch bieten mehr Optionen zur Erzwingung der Trennung von Mandanten, zur Strukturierung und Kontrolle des Netzwerkdatenverkehrs und zum Einsatz von Schutzmaßnahmen gegen schädliche VMs.

Hinweis

In Windows Server 2016 zeigt eine VM mit einem virtuellen Netzwerkanschluss genau den maximalen Durchsatz für den virtuellen Netzwerkanschluss an. Um die Geschwindigkeit des virtuellen Netzwerkanschlusses unter Netzwerkverbindungen anzuzeigen, klicken Sie mit der rechten Maustaste auf das gewünschte Symbol des virtuellen Netzwerkanschlusses und dann auf Status. Das Dialogfeld Status des virtuellen Netzwerkanschlusses wird geöffnet. In Verbindung entspricht der Wert von Geschwindigkeit der Geschwindigkeit des im Server installierten physischen Netzwerkanschlusses.

Verwendungsmöglichkeiten des virtuellen Hyper-V-Switch

Nachfolgend sind einige Anwendungsfälle für den virtuellen Hyper-V-Switch aufgeführt.

Anzeigen der Statistik: Ein*e Entwickler*in bei einem Cloudhostinganbieter implementiert ein Verwaltungspaket, mit dem der aktuelle Zustand des virtuellen Hyper-V-Switches angezeigt wird. Das Verwaltungspaket kann aktuelle Funktionen, Konfigurationseinstellungen und individuelle Portnetzwerkstatistiken mit WMI für den gesamten Switch abfragen. Der Status des Switches wird dann angezeigt, um Administratoren eine kurze Übersicht über den Switch zu geben.

Ressourcennachverfolgung: Eine Hostingfirma vertreibt Hostingdienste, deren Preise sich nach der Ebene der Mitgliedschaft richten. Die verschiedenen Mitgliedschaftsebenen umfassen unterschiedliche Netzwerkleistungsebenen. Der Administrator ordnet die Ressourcen so zu, dass die Netzwerkverfügbarkeit entsprechend den Anforderungen der SLAs gleichmäßig verteilt ist. Der*Die Administrator*in überwacht programmgesteuert Informationen wie die aktuelle Verwendung der zugewiesenen Bandbreite und die Anzahl der VMQ- (Warteschlange für virtuelle Computer) und IOV-Kanäle für virtuelle Computer. Dasselbe Programm protokolliert außerdem in regelmäßigen Abständen die verwendeten Ressourcen zusätzlich zu den zugewiesenen Ressourcen pro virtuellem Computer, sodass die Ressourceneinträge doppelt erfasst werden.

Verwalten der Reihenfolge von Switcherweiterungen: Ein Unternehmen hat Erweiterungen auf seinem Hyper-V-Host installiert, um den Datenverkehr überwachen und die Erkennung von Eindringversuchen melden zu können. Während der Wartung werden möglicherweise einige Erweiterungen aktualisiert, was zu Änderungen in der Reihenfolge der Erweiterungen führt. Ein einfaches Skriptprogramm wird ausgeführt, um die Erweiterungen nach einer Aktualisierung wieder zu ordnen.

Weiterleitungserweiterung verwaltet VLAN-ID: Ein großes Switchunternehmen erstellt eine Weiterleitungserweiterung, über die alle Richtlinien für das Netzwerk angewendet werden. Ein verwaltetes Element sind IDs für virtuelle lokale Netzwerke (Virtual Local Area Network, VLAN). Der virtuelle Switch übergibt die Kontrolle des VLAN an eine Weiterleitungserweiterung. Die Installation des Switchunternehmens ruft programmgesteuert eine WMI-Anwendungsprogrammierschnittstelle (Windows-Verwaltungsinstrumentation-API) auf, die die Transparenz aktiviert und den virtuellen Hyper-V-Switch anweist, für VLAN-Tags keine Schritte auszuführen.

Funktionen des virtuellen Hyper-V-Switch

Einige der Prinzipalfeatures, die der Hyper-V-Switch umfasst, sind:

  • Schutz vor ARP/ND-Poisoning (Spoofing): Bietet Schutz vor einem schädlichen virtuellen Computer, der per ARP-Spoofing (Address Resolution-Protokoll) versucht, IP-Adressen von anderen virtuellen Computern zu stehlen. Bietet Schutz vor Angriffen, die per Nachbarermittlungs-Spoofing (Neighbor Discovery, ND) für IPv6 gestartet werden können.

  • Schutz per DHCP-Wächter: Bietet Schutz vor einem schädlichen virtuellen Computer, der sich als DHCP-Server (Dynamic Host Configuration-Protokoll) für Man-in-the-Middle-Angriffe ausgibt.

  • Port-ACLs: Ermöglichen die Filterung von Datenverkehr basierend auf MAC- oder IP-Adressen bzw. Bereichen (Media Access Control/Internet Protocol) und somit die Einrichtung der Isolation virtueller Netzwerke.

  • Trunkmodus zu einer VM: Ermöglicht Administrator*innen die Einrichtung eines bestimmten virtuellen Computers als virtuelles Gerät und die anschließende Weiterleitung von Datenverkehr verschiedener VLANs an diese VM.

  • Überwachung des Netzwerkdatenverkehrs: Ermöglicht Administrator*innen die Überprüfung von Datenverkehr, der den Netzwerkswitch durchläuft.

  • Isoliertes (privates) VLAN: Ermöglicht Administrator*innen die Aufteilung von Datenverkehr auf mehrere VLANs, um die Einrichtung isolierter Mandantengruppen zu vereinfachen.

Im Folgenden finden Sie eine Liste der Funktionen, die die Verwendbarkeit des virtuellen Hyper-V-Switches verbessern:

  • Bandbreitengrenze und Burstunterstützung: Per Bandbreitenmindestwert wird sichergestellt, dass immer eine bestimmte Menge an Bandbreite reserviert ist. Die maximale Bandbreite begrenzt die Bandbreite, die ein virtueller Computer belegen kann.

  • Unterstützung der ECN-Kennzeichnung (Explicit Congestion Notification): Mithilfe der ECN-Kennzeichnung – auch als Data Center TCP (DCTCP) bezeichnet – können der physische Switch und das Betriebssystem den Fluss des Datenverkehrs so regulieren, dass die Pufferressourcen des Switches nicht überlastet werden. Dies führt zu einem höheren Durchsatz beim Datenverkehr.

  • Diagnose: Die Diagnose ermöglicht die einfache Ablaufverfolgung und Überwachung von Ereignissen und Paketen über den virtuellen Switch.