Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral da filtragem de comutadores virtuais
Filtragem de Switch Virtual é suportada no Windows 8 e versões posteriores do Windows.
Este recurso WFP permite a filtragem em campos do cabeçalho MAC, cabeçalho IP e portas de protocolo superior, bem como campos específicos do comutador virtual, como porta virtual (VPort) e identificador de máquina virtual (ID da VM). Essas camadas são invocadas por pacote para todos os pacotes que atravessam o comutador virtual. Essas camadas são acedidas através de um filtro de extensão do comutador virtual, que é um tipo de driver NDIS leve (LWF).
Um callout driver chama a função FwpsvSwitchEventsSubscribe0 do para registar pontos de entrada de retorno de chamada para eventos da camada de comutador virtual.
Os pontos de entrada para as funções de notificação de retorno de chamada são especificados numa estrutura FWPS_VSWITCH_EVENT_DISPATCH_TABLE0. As funções de retorno de chamada disponíveis incluem:
- FWPS_VSWITCH_FILTER_ENGINE_REORDER_CALLBACK0
- FWPS_VSWITCH_INTERFACE_EVENT_CALLBACK0
- FWPS_VSWITCH_LIFETIME_EVENT_CALLBACK0
- FWPS_VSWITCH_POLICY_EVENT_CALLBACK0
- FWPS_VSWITCH_PORT_EVENT_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_RESTORE_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_SAVE_CALLBACK0
A enumeração FWPS_VSWITCH_EVENT_TYPE define os valores para o parâmetro eventType das funções de notificação do comutador virtual.
O driver de callout deve finalmente chamar FwpsvSwitchEventsUnsubscribe0 para liberar os recursos do sistema.
Se um driver de interceptação retornar STATUS_PENDING de uma função de notificação WFP, o WFP retornará STATUS_PENDING para o manipulador de pedidos OID. O driver de referência deve chamar a função FwpsvSwitchNotifyComplete0 para concluir a operação pendente. Após a chamada de FwpsvSwitchNotifyComplete0, o WFP chama a função NdisFOidRequestComplete para concluir o OID do comutador virtual.
Os retornos de chamada não devem adicionar ou excluir filtros WFP de forma síncrona no contexto das funções de notificação. Além disso, se a função de notificação permitir que o callout retorne STATUS_PENDING, e o callout retornar STATUS_PENDING, o callout não deve adicionar ou excluir filtros WFP antes de concluir a notificação.
Camada de Filtro e Campos do Comutador Virtual do WFP
Identificadores da camada de filtragem em tempo de execução para a filtragem de comutadores virtuais incluem:
- FWPS_LAYER_INGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_EGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V6
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V6
Identificadores de Campo de Dados para filtragem de comutador virtual incluem:
- FWPS_FIELDS_EGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V6
- FWPS_FIELDS_INGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V6
Orientação para redatores de chamadas explicativas do Switch Virtual WFP
Tráfego da porta 0
Para notificações do comutador virtual WFP, o tráfego da porta 0 (o ID da porta padrão) é confiável e não deve ser filtrado. Isso ocorre porque, geralmente, o tráfego pela porta 0 se origina de outras extensões na pilha de drivers e, portanto, é tratado pelo caminho de dados como privilegiado e confiável. As extensões de comutador virtual usarão com moderação a porta 0 para situações como a origem de um pacote de controle, que não deve ser filtrado e rejeitado por nenhuma extensão subjacente. Para mais informações sobre a modificação da porta de origem do switch extensível Hyper-V, consulte Modificando os dados da porta de origem do switch extensível de um pacote.
Regras de correspondência de chamadas
Ao definir uma regra de correspondência para filtragem, as chamadas do switch virtual não devem usar o endereço MAC como base de comparação. Os endereços MAC podem mudar em tempo de execução, e algumas portas podem gerar tráfego de vários endereços MAC. Em vez disso, as notas explicativas devem usar uma regra de correspondência mais durável, como a ID da NIC, que não será alterada.
Virtualização de E/S (IOV) e coexistência do PAM
O WFP não pode ser ativado em um switch IOV e é bloqueado pelo sistema operacional se for feita uma tentativa de habilitá-lo.
Ativando ou desativando o WFP
Os instaladores de chamadas do comutador virtual WFP não devem modificar o estado habilitado da extensão WFP; ou seja, não devem habilitar ou desabilitar o próprio WFP.