Hyper-V Server網絡進階功能特性介紹

一、 MAC位址

Hyper-v上運作着的虛拟機，管理者一般都會綁定網絡到一定的網絡中并配置設定網卡，配置網卡屬性，不管它使用的網絡類型是外部内部 還是專用。當管理者安裝完成Hyper-v角色以後，Hyper-v就内置了256個MAC位址以供虛拟機使用，這256個MAC位址，也就是MAC位址池。為了很好的在Hyper-V中使用MAC位址功能，微軟買下了00-15-5d作為Hyper-v的MAC位址的廠商辨別，也就是說，Hyper-v的MAC位址池中，所有位址都是以00-15-5d作為開頭的，更确切的說，Hyper-v系統上運作的虛拟機，他的MAC位址的前六位就是00-15-5d，從這一點上，管理者就可以依據網卡來區分自己連接配接的到底是一台實體機還是虛拟機，是一台Hyper-v的虛拟機還是一台Vmware的虛拟機。

通過進行MAC位址欺騙，虛拟機可以将傳出資料包中的源MAC位址更改為配置設定的位址以外的位址

<a href="http://s3.51cto.com/wyfs02/M02/59/1A/wKioL1THhzCRh8pjAACZhMHLlqg392.jpg" target="_blank"></a>

二、 DHCP防護（Guard Protection）

在 DHCP 環境中，惡意 DHCP 伺服器可攔截 DHCP 用戶端請求，提供錯誤的位址資訊。惡意 DHCP 伺服器會導緻通訊被路由到惡意中間人，借此對所有通訊進行嗅探，随後轉發到真正的合法目标位址。為防範這種中間人攻擊，Hyper-V 管理者可指定哪個 Hyper-V 可擴充交換機端口能用于連接配接 DHCP 伺服器。來自其他 Hyper-V 可擴充交換機端口的 DHCP 伺服器通訊會被自動丢棄。借此，Hyper-V 可擴充交換機可防範惡意 DHCP 伺服器提供可能導緻通訊被重新路由的 IP 位址。

<a href="http://s3.51cto.com/wyfs02/M02/59/1D/wKiom1THhlGDU6SNAABgVbPiWxA630.jpg" target="_blank"></a>

三、 ARP/ND 病毒與欺騙保護

Hyper-V 可擴充交換機能保護防範惡意虛拟機通過 ARP 欺騙（IPv4 中也叫做 ARP 病毒）從其他虛拟機處盜取 IP 位址。通過這種類型的中間人攻擊，惡意虛拟機可發送虛假的 ARP 資訊，将自己的 MAC 位址關聯到不屬于自己的 IP 位址。不受保護的虛拟機會将本應發往該 IP 位址的網絡通訊發送給惡意虛拟機的 MAC 位址，而非真正的目标位置。對于 IPv6，Windows Server 2012 提供了類似的 ND 欺騙保護。

<a href="http://s3.51cto.com/wyfs02/M02/59/1D/wKiom1THhlLzKd8_AABosrVlikY999.jpg" target="_blank"></a>

四、 端口鏡像（Port Mirror）

Port Mirror （端口鏡像）可以把一個或者多個端口的資料做個鏡像轉發到另外一個端口，然後使用者可以在這個新的端口進行監聽。

<a href="http://s3.51cto.com/wyfs02/M01/59/1A/wKioL1THhzHSdT4GAACK-oIa7_0726.jpg" target="_blank"></a>

五、 虛拟機中的NIC組合

Windows Server 2012 中的 NIC 組合也适合于虛拟機。它允許虛拟機具有連接配接到多個 Hyper-V 交換機的虛拟網絡擴充卡并且即使該交換機下的網絡擴充卡斷開連接配接，也仍然能夠連接配接。當使用諸如單根 I/O 虛拟化 (SR-IOV) 之類的功能時它非常有用，因為 SR-IOV 流量不通過 Hyper-V 交換機。是以，它無法受到 Hyper-V 交換機下的組的保護。通過此虛拟機組合選項，管理者可以設定兩個 Hyper-V 交換機，每個交換機都連接配接到其自己的支援 SR-IOV 的網絡擴充卡。此時：

1. 每個虛拟機可以從一個或兩個 SR-IOV 網絡擴充卡安裝虛拟功能。然後，當網絡擴充卡斷開連接配接時，虛拟機可以從主虛拟功能故障轉移到備份虛拟功能。

2. 或者，虛拟機也可能擁有從一個網絡擴充卡和一個非虛拟功能網絡擴充卡到其他交換機的虛拟功能。如果與虛拟功能關聯的網絡擴充卡斷開連接配接，則流量可以故障轉移到其他交換機，而不會失去連接配接。

由于在虛拟機中網絡擴充卡之間的故障轉移可能會導緻流量與其他網絡擴充卡的 MAC 位址一起發送，是以與使用 NIC 組合的虛拟機關聯的每個 Hyper-V 交換機端口都必須設定為允許 MAC 欺騙或必須使用 Set-VmNetworkAdapter PowerShell cmdlet 設定“AllowTeaming=On”參數。

<a href="http://s3.51cto.com/wyfs02/M02/59/1A/wKioL1THhzGzPyuaAAC9heig6BM364.jpg" target="_blank"></a>

     本文轉自 徐庭 51CTO部落格，原文連結：http://blog.51cto.com/ericxuting/1608946，如需轉載請自行聯系原作者