Bagikan melalui

Ekstensi Pemfilteran

  • Artikel

Ekstensi pemfilteran sakelar yang dapat diperluas Hyper-V dapat memeriksa, memodifikasi, dan menyisipkan paket ke dalam jalur data sakelar yang dapat diperluas. Berdasarkan port sakelar yang dapat diperluas dan pengaturan kebijakan pengalihan, ekstensi dapat menghilangkan paket atau mengecualikan pengirimannya ke satu atau beberapa port tujuan.

Ekstensi pemfilteran dipanggil setelah menangkap ekstensi di jalur data masuk dan setelah ekstensi penerusan di jalur data keluar. Untuk informasi selengkapnya tentang jalur data ini, lihat Jalur Data Hyper-V Extensible Switch.

Ekstensi pemfilteran dapat melakukan hal berikut dengan paket yang diperoleh pada jalur data masuk:

  • Memfilter lalu lintas paket dan menerapkan port kustom atau beralih kebijakan untuk pengiriman paket melalui sakelar yang dapat diperluas. Ketika ekstensi pemfilteran memfilter paket di jalur data masuk, ekstensi ini dapat menerapkan aturan pemfilteran hanya berdasarkan port sumber dan koneksi adaptor jaringan tempat paket berasal. Informasi ini disimpan dalam data out-of-band (OOB) dari struktur NET_BUFFER_LIST paket dan dapat diperoleh dengan menggunakan makro NET_BUFFER_LIST_SWITCH_FORWARDING_DETAIL .

    Catatan Paket yang diperoleh pada jalur data ingress tidak berisi port tujuan. Pemfilteran paket berdasarkan port tujuan hanya dapat dilakukan pada paket yang diperoleh pada jalur data keluar.

    Kebijakan kustom ditentukan oleh vendor perangkat lunak independen (ISV). Pengaturan properti untuk jenis kebijakan ini dikelola melalui lapisan manajemen Hyper-V WMI. Ekstensi pemfilteran dikonfigurasi dengan pengaturan properti ini melalui permintaan pengidentifikasi objek (OID) dari OID_SWITCH_PORT_PROPERTY_UPDATE dan OID_SWITCH_PROPERTY_UPDATE.

    Untuk informasi selengkapnya tentang port atau kebijakan pengalihan yang dapat diperluas kustom, lihat Mengelola Kebijakan Sakelar yang Dapat Diperluas Hyper-V.

    Catatan Hanya ekstensi penerusan yang dapat memberlakukan kebijakan port standar untuk pengiriman paket melalui sakelar yang dapat diperluas.

  • Masukkan paket baru, dimodifikasi, atau dikloning ke dalam jalur data masuk.

    Untuk informasi selengkapnya, lihat Operasi Kirim dan Terima Sakelar Yang Dapat Diperluas Hyper-V.

Ekstensi pemfilteran dapat melakukan hal berikut dengan paket yang diperoleh pada jalur data keluar:

  • Memfilter lalu lintas paket dan menerapkan port kustom atau beralih kebijakan untuk pengiriman paket melalui sakelar yang dapat diperluas. Saat ekstensi pemfilteran memfilter paket di jalur data keluar, ekstensi tersebut dapat menerapkan aturan pemfilteran berdasarkan port sumber atau tujuan untuk paket. Data port tujuan disimpan dalam data OOB dari struktur NET_BUFFER_LIST paket. Ekstensi mendapatkan informasi ini dengan memanggil fungsi GetNetBufferListDestinations .

  • Kecualikan pengiriman paket ke satu atau beberapa port tujuan switch yang dapat diperluas. Ini memungkinkan ekstensi pemfilteran untuk mengecualikan pengiriman paket ke port switch yang dapat diperluas.

    Untuk informasi selengkapnya tentang cara mengecualikan pengiriman paket ke port switch yang dapat diperluas, lihat Mengecualikan Pengiriman Paket ke Port Tujuan Extensible Switch.

  • Kelola arus lalu lintas ke satu atau beberapa port tujuan dengan menunda penerusan paket ke jalur data keluar.

    Misalnya, ekstensi pemfilteran yang mendukung fungsionalitas kualitas layanan (QoS) mungkin ingin segera memanggil NdisFSendNetBufferLists untuk meneruskan paket yang ditentukan dengan nilai prioritas yang lebih tinggi. Bergantung pada arus lalu lintas, ekstensi mungkin ingin meneruskan paket dengan nilai prioritas yang lebih rendah di lain waktu.

  • Ubah data paket. Jika ekstensi pemfilteran perlu memodifikasi data dalam paket, ekstensi harus terlebih dahulu mengkloning paket tanpa mempertahankan tujuan port. Kemudian, ekstensi harus menyuntikkan paket yang dimodifikasi ke jalur data masuk. Ini memungkinkan ekstensi yang mendasar untuk memberlakukan kebijakan pada paket yang dimodifikasi dan ekstensi penerusan dapat menambahkan tujuan port.

    Untuk informasi selengkapnya, lihat Mengkloning Lalu Lintas Paket.

Selain memeriksa permintaan OID dan indikasi status NDIS, ekstensi pemfilteran dapat melakukan hal berikut:

  • Veto pembuatan port sakelar yang dapat diperluas atau koneksi adaptor jaringan dengan mengembalikan STATUS_DATA_NOT_ACCEPTED untuk OID sakelar yang dapat diperluas yang berlaku. Misalnya, ekstensi pemfilteran dapat mem-veto permintaan pembuatan port dengan mengembalikan STATUS_DATA_NOT_ACCEPTED ketika driver menerima permintaan set OID OID_SWITCH_PORT_CREATE.

    Catatan Ekstensi pemfilteran tidak membuat atau menghapus port atau koneksi adaptor jaringan. Tepi protokol sakelar yang dapat diperluas mengeluarkan OID untuk memberi tahu driver filter yang mendasar tentang pembuatan atau penghapusan port atau koneksi adaptor jaringan. Untuk informasi selengkapnya, lihat Port Hyper-V Extensible Switch dan Status Adaptor Jaringan.

  • Veto penambahan atau pembaruan kebijakan sakelar atau port yang dapat diperluas dengan mengembalikan STATUS_DATA_NOT_ACCEPTED untuk OID switch yang dapat diperluas yang berlaku. Misalnya, ekstensi pemfilteran dapat mem-veto penambahan kebijakan port dengan mengembalikan STATUS_DATA_NOT_ACCEPTED saat ekstensi menerima permintaan set OID_SWITCH_PORT_PROPERTY_ADD OID.

    Untuk informasi selengkapnya tentang kebijakan sakelar yang dapat diperluas, lihat Mengelola Kebijakan Sakelar yang Dapat Diperluas Hyper-V.

Ekstensi pemfilteran memiliki persyaratan berikut:

  • Ekstensi pemfilteran harus dikembangkan sebagai driver filter NDIS yang mendukung antarmuka sakelar yang dapat diperluas.

    Untuk informasi selengkapnya tentang driver filter, lihat Driver Filter NDIS.

    Untuk informasi selengkapnya tentang cara menulis ekstensi pemfilteran, lihat Menulis Hyper-V Extensible Switch Extensions.

    Catatan Windows Filtering Platform (WFP) menyediakan ekstensi pemfilteran sakelar yang dapat diperluas dalam kotak (Wfplwfs.sys ). Ekstensi ini memungkinkan filter WFP atau driver callout untuk mencegat paket di sepanjang jalur data sakelar yang dapat diperluas Hyper-V. Ini memungkinkan filter atau driver callout untuk melakukan inspeksi atau modifikasi paket dengan menggunakan manajemen WFP dan fungsi sistem. Untuk gambaran umum WFP, lihat Platform Pemfilteran Windows.

  • File INF untuk ekstensi pemfilteran harus menginstal driver sebagai pengandar filter yang memodifikasi. Driver filter pemantauan NDIS tidak dapat diinstal di tumpukan driver sakelar yang dapat diperluas.

    Untuk informasi selengkapnya tentang memodifikasi driver filter, lihat Jenis Driver Filter.

    Untuk informasi selengkapnya tentang persyaratan INF untuk memodifikasi driver filter, lihat Mengonfigurasi File INF untuk Memodifikasi Driver Filter.

  • Nilai FilterClass dalam file INF untuk driver filter harus diatur ke ms_switch_filter. Untuk informasi selengkapnya, lihat Persyaratan INF untuk Ekstensi Sakelar yang Dapat Diperluas Hyper-V.

  • Sejumlah ekstensi pemfilteran dapat diikat dan diaktifkan di tumpukan driver untuk setiap instans sakelar yang dapat diperluas. Secara default, beberapa ekstensi pemfilteran diurutkan berdasarkan kapan ekstensi tersebut diinstal. Misalnya, beberapa ekstensi pemfilteran dilapisi dalam tumpukan driver sakelar yang dapat diperluas dengan ekstensi yang terakhir diinstal berlapis di atas ekstensi pemfilteran lainnya di tumpukan.

    Setelah terikat dan diaktifkan dalam instans sakelar yang dapat diperluas, lapisan ekstensi pemfilteran dalam tumpukan driver sakelar yang dapat diperluas dapat diurutkan ulang. Untuk informasi selengkapnya, lihat Menyusun ulang Ekstensi Sakelar yang Dapat Diperluas Hyper-V.