yper-V交换机端口,该数据包会被丢弃。只有数据包的 VSID与交换机端口的 VSID相匹配,数据包才能被送到 Hyper-V交换机端口。如果 Hyper-V交换机端口没有 VSID ACL,那么附加在该交换机的虚拟网络适配器就不在 Hyper-V 网络虚拟化虚拟子网之内。从虚拟网络适配器发出的数据包如果没有VSID ACL,就会通过 Hyper-V网络虚拟化而不会发生更改。虚拟机发送数据包时,Hyper-V交换机端口的 VSID与这个在带外 (OOB)数据中的数据包相关联。封装数据包的 GRE密钥字段中包含 VSID。在接收端,Hyper-V网络虚拟化将 OOB中的 VSID以及解封的数据包发送到 Hyper-V交换机。在接收端,Hyper-V网络虚拟化执行策略寻找,并在数据包送达 Hyper-V交换机之前,将 VSID添加到 OOB数据中。Hyper-V交换机扩展在客户地址(CA)空间中运作。但是,VSID适用于交换机扩展。这可使交换机扩展能感知多租户。例如,防火墙交换机扩展可将带有 VSID为 5001的 OOB的 CA IP地址 10.1.1.5和 VSID为 6001的相同 CA IP地址区分开来
Windows Server 2012中 Hyper-V 网络虚拟化的重要功能、优势和能力:
可实现灵活的工作负荷放置 – 无需 VLAN的网络隔离以及 IP地址的重新使用。
Hyper-V 网络虚拟化可将客户虚拟网络与主机物理网络基础结构脱耦,因此提供数据中心内的自由的工作负荷放置。虚拟机工作负荷放置不再受限于 IP地址分配或者物理网络的 VLAN隔离要求,因为其是在 Hyper-V主机内基于软件定义的多租户虚拟策略上执行。
拥有重叠 IP地址的不同客户的虚拟机现在可以部署在同一台主机服务器上,而不需繁琐的 VLAN配置或者违反 IP地址的层次结构。这样可以简化客户工作负荷向共享 IaaS托管提供商的移动,允许客户在不用更改的条件下移动这些工作负荷,如不用更改虚拟机 IP地址。对于托管提供商而言,支持大量想要将现有网络地址空间延伸到共享 IaaS数据中心的客户是一项为每个客户配置和维持独立 VLAN的复杂操作,以便确保可能重叠的地址空间的共存。Hyper-V网络虚拟化可使支持重叠地址更加简单,并可减少托管提供商进行网络重新配置的需要。
除此之外,也能在不造成客户工作负荷停滞的基础上,进行物理基础结构的维持和升级。使用 Hyper-V网络虚拟化,特定主机、机架、子网、VLAN或者整个集群上的虚拟机可以进行移动,而不需重新编号或者进行大型的重新配置。
能更简单地将工作负荷移动到共享的 IaaS云中。
使用 Hyper-V网络虚拟化,IP地址和虚拟机配置可保持不变。这可使 IT组织更简单地将工作负荷从其数据中心移至共享的 IaaS托管提供商,而只需最少的工作负荷或者其基础结构工具以及策略的重新配置。在两个数据中心相连的情况下,IT管理员可继续使用其工具而不用对其进行重新配置。
可实现跨子网实时迁移
传统的虚拟机工作负荷实时迁移一直仅限于同一 IP子网或 VLAN中,因为跨子网需要虚拟机的客户操作系统更改 IP地址。地址更改会中断现有通信,干扰在虚拟机运行的服务。使用 Hyper-V网络虚拟化,工作负荷可从一个子网中运行着 Windows Server 2012的服务器实时迁移到不同子网中运行着 Windows Server 2012的服务器中,而不用改变工作负荷的 IP地址。Hyper-V网络虚拟化可保证因实时迁移而带来的虚拟机位置变化在与被转移的虚拟机有持续通信的主机中得到更新并且同步。
能更简单地管理脱耦的服务器以及网络管理
服务器工作负荷安排得到简化,原因是工作负荷的迁移和安排独立于底层物理网络配置。服务器管理员可以侧重于管理服务和服务器,网络管理员则可以侧重于整体网络基础结构和流量管理。这能让数据中心服务器管理员在不用对虚拟机重新编号的基础上对虚拟机进行部署和迁移。能减少开销,因为 Hyper-V网络虚拟化能让虚拟机放置与网络拓扑独立进行,减少网络管理员参与到可能改变隔离边界的放置过程的需要。
简化网络,提高服务器或者网络资源的利用率
VLAN 的僵化以及虚拟机放置对物理网络基础结构的依赖会导致过度配置以及利用不足。通过打破这种依存关系,虚拟机工作负荷安排灵活性的提高可以简化网络管理并提高服务器和网络资源利用率。注意:Hyper-V网络虚拟化支持物理数据中心背景下的 VLAN。例如,某一数据中心可能想要所有 Hyper-V网络虚拟化流量在一个特定的 VLAN内进行。
与现有基础结构和新兴技术兼容
Hyper-V 网络虚拟化可部署在当前的数据中心中,但也与新兴的数据中心“扁平网络”技术兼容。
为互操作性以及生态体系准备创造基础
Hyper-V 网络虚拟化支持与现有资源进行通信的多个配置,如跨组织连接、存储区域网 (SAN)以及非虚拟化资源访问等。微软致力于与生态体系合作伙伴一道共同在性能、扩展性以及管理性方面支持和改进 Hyper-V网络虚拟化。
使用 Windows PowerShell以及 WMI
Hyper-V 网络虚拟化支持 Windows PowerShell以及 Windows ManagementInstrumentation (WMI)对网络虚拟化和隔离策略进行配置。Hyper-V网络虚拟化的 Windows PowerShell cmdlet能让管理员建立命令行工具或者自动化的脚本来为网络隔离策略进行配置、监控以及故障排除。
网络虚拟化的实现方式:
在 Hyper-V网络虚拟化中的每个虚拟网络适配器都与两个 IP地址相关:
客户地址 (CA)由客户基于其内部网络基础结构所指定的 IP 地址。通过这一地址,客户可与虚拟机交流网络流量,如同未移到一个公有或私有云中一般。CA对虚拟机是可见的,并且可由客户访问。
提供商地址(PA)由主机或数据中心管理员基于其物理网络基础结构所指定的 IP地址。PA出现在网络上的数据包中,这些数据包可与托管虚拟机的 Hyper-V服务器进行交换。PA在物理网络上是可见的,但在虚拟机上不可见。Hyper-v网络虚拟化机制旨在将虚拟机使用的网络地址虚拟化,也就是微软网络虚拟化重点所在。
将每台虚拟机的 CA映射到物理主机的 PA。
根据映射,将虚拟机在 CA空间中发送的数据包放置在一个含有 PA源和目标对的“封套”中。
CA-PA 映射必须允许主机为不同的客户虚拟机区分数据包。
Hyper-V网络虚拟化策略实施以及 IP虚拟化都由名为 Windows网络虚拟化 (WNV)的网络驱动程序接口规格 (NDIS)轻型筛选器 (LWF)执行。在下图中,WNV筛选器位于 Hyper-V交换机之下。
每台虚拟机网络适配器都配有一个 IPv4和/或一个 IPv6 地址。这些是虚拟机用来相互交流的 CA,并置于虚拟机的 IP 包中。基于网络虚拟化策略,Hyper-V网络虚拟化将 CA虚拟化成 PA。
虚拟机发出一个源地址为 CA1的数据包,该数据包已基于 Hyper-V交换机下面的 WNV筛选器策略予以虚拟化。对 Hyper-V 交换机以及任何 Hyper-V交换机可见的 IP地址是 CA地址,而不是 PA地址。基于 VSID的特殊网络虚拟化访问控制列表能将虚拟机从其他不属于同一虚拟子网或同一路由域的虚拟机独立出来。
微软包含两个地址转换机制实现网络虚拟化,即包重写IP-Rewri