Citrix Hypervisor

Verwalten von Netzwerken

Die Netzwerkkonfigurationsverfahren in diesem Abschnitt unterscheiden sich je nachdem, ob Sie einen eigenständigen Server oder einen Server konfigurieren, der Teil eines Ressourcenpools ist.

Erstellen von Netzwerken auf einem eigenständigen Server

Da während der Hostinstallation für jeden PIF externe Netzwerke erstellt werden, ist das Erstellen zusätzlicher Netzwerke in der Regel nur erforderlich, um:

  • Verwenden eines privaten Netzwerks

  • Unterstützung erweiterter Operationen wie VLANs oder NIC-Bonding

Weitere Informationen zum Hinzufügen oder Löschen von Netzwerken mit XenCenter finden Sie Neues Netzwerk hinzufügen in der XenCenter-Dokumentation.

Öffnen Sie die Textkonsole des Citrix Hypervisor-Servers.

Erstellen Sie das Netzwerk mit dem Befehl network-create, der die UUID des neu erstellten Netzwerks zurückgibt:

xe network-create name-label=mynetwork

An dieser Stelle ist das Netzwerk nicht mit einem PIF verbunden und ist daher intern.

Erstellen von Netzwerken in Ressourcenpools

Alle Citrix Hypervisor-Server in einem Ressourcenpool müssen dieselbe Anzahl physischer NICs (NICs) aufweisen. Diese Anforderung wird nicht strikt erzwungen, wenn ein Host mit einem Pool verbunden ist.

Da alle Hosts in einem Pool gemeinsam einen gemeinsamen Satz von Netzwerk. Es ist wichtig, die gleiche physische Netzwerkkonfiguration für Citrix Hypervisor-Server in einem Pool zu haben. PIFs auf den einzelnen Hosts werden basierend auf dem Gerätenamen mit poolweiten Netzwerken verbunden. Beispielsweise verfügen alle Citrix Hypervisor-Server in einem Pool mit eth0-NIC über einen entsprechenden PIF, der an das poolweite Network 0 Netzwerk angeschlossen ist. Dasselbe gilt für Hosts mit eth1-Netzwerkkarten und anderen Netzwerkkarten Network 1, die in mindestens einem Citrix Hypervisor-Server im Pool vorhanden sind.

Wenn ein Citrix Hypervisor-Server eine andere Anzahl von Netzwerkkarten als andere Hosts im Pool aufweist, können Komplikationen auftreten. Die Komplikationen können auftreten, da nicht alle Poolnetzwerke für alle Pool-Hosts gültig sind. Wenn sich beispielsweise Hosts host1 und host2 im selben Pool befinden und host1 vier NICs hat und host2 nur zwei hat, sind nur die Netzwerke, die mit den PIFs verbunden sind, die eth0 und eth1 entsprechen, auf host2gültig. VMs auf Host1 mit VIFs, die mit Netzwerken verbunden sind, die eth2 und eth3 entsprechen, können nicht zu Host2migriert werden.

Erstellen von VLANs

Für Server in einem Ressourcenpool können Sie den Befehl pool-vlan-create verwenden. Mit diesem Befehl wird das VLAN erstellt und automatisch die erforderlichen PIFs auf den Hosts im Pool erstellt. Weitere Informationen finden Sie unter pool-vlan-create.

Öffnen Sie die Citrix Hypervisor-Serverkonsole.

Erstellen Sie ein Netzwerk für die Verwendung mit dem VLAN. Die UUID des neuen Netzwerks wird zurückgegeben:

xe network-create name-label=network5

Verwenden Sie den Befehl pif-list, um die UUID der PIF zu finden, die der physischen NIC entspricht, die das gewünschte VLAN-Tag unterstützt. Die UUIDs und Gerätenamen aller PIFs werden zurückgegeben, einschließlich vorhandener VLANs:

xe pif-list

Erstellen Sie ein VLAN-Objekt, das das gewünschte physische PIF- und VLAN-Tag auf allen VMs angibt, die mit dem neuen VLAN verbunden werden sollen. Ein neuer PIF wird erstellt und an das angegebene Netzwerk angeschlossen. Die UUID des neuen PIF-Objekts wird zurückgegeben.

xe vlan-create network-uuid=network_uuid pif-uuid=pif_uuid vlan=5

Schließen Sie VM-VIFs an das neue Netzwerk an. Weitere Informationen finden Sie unter Erstellen von Netzwerken auf einem eigenständigen Server.

Erstellen von NIC-Bindungen auf einem eigenständigen Host

Es wird empfohlen, XenCenter zum Erstellen von NIC-Bonds zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkkarten.

In diesem Abschnitt wird beschrieben, wie Sie die xe CLI verwenden, um NIC-Schnittstellen auf Citrix Hypervisor-Servern zu binden, die sich nicht in einem Pool befinden. Weitere Informationen zum Erstellen von NIC-Bonds auf Citrix Hypervisor-Servern, die einen Ressourcenpool umfassen, finden Sie unter Erstellen von NIC-Bonds in Ressourcenpools.

Erstellen einer NIC-Bondung

Wenn Sie eine NIC binden, absorbiert die Bindung die PIF/NIC, die als Verwaltungsschnittstelle verwendet wird. Die Managementschnittstelle wird automatisch auf die Bindungs-PIF verschoben.

  1. Verwenden Sie den Befehl network-create, um ein Netzwerk für die Verwendung mit der gebundenen NIC zu erstellen. Die UUID des neuen Netzwerks wird zurückgegeben:

    xe network-create name-label=bond0
    
  2. Verwenden Sie den Befehl pif-list, um die UUIDs der PIFs zu bestimmen, die in der Bindung verwendet werden sollen:

    xe pif-list
    
  3. Führen Sie einen der folgenden Schritte aus:

    • Um die Bindung im Aktiv-Aktiv-Modus (Standard) zu konfigurieren, verwenden Sie den Befehl bond-create, um die Bindung zu erstellen. Geben Sie durch Kommas getrennt die neu erstellte Netzwerk-UUID und die UUIDs der zu verklebenden PIFs an:

       xe bond-create network-uuid=network_uuid /
            pif-uuids=pif_uuid_1,pif_uuid_2,pif_uuid_3,pif_uuid_4
      

      Geben Sie zwei UUIDs ein, wenn Sie zwei NICs und vier UUIDs beim Verbinden von vier NICs verwenden. Die UUID für die Bindung wird nach dem Ausführen des Befehls zurückgegeben.

    • Um die Bindung im Aktiv-Passiv- oder LACP-Bond-Modus zu konfigurieren, verwenden Sie die gleiche Syntax, fügen Sie den optionalen Parameter mode hinzu und geben Sie lacp oder active-backup an:

       xe bond-create network-uuid=network_uuid pif-uuids=pif_uuid_1, /
            pif_uuid_2,pif_uuid_3,pif_uuid_4 /
            mode=balance-slb | active-backup | lacp
      

Steuern Sie die MAC-Adresse der Bindung

Wenn Sie die Verwaltungsschnittstelle verbinden, wird die PIF/NIC subsumiert, die als Verwaltungsschnittstelle verwendet wird. Wenn der Host DHCP verwendet, entspricht die MAC-Adresse der Bindung der verwendeten PIF/NIC. Die IP-Adresse der Verwaltungsschnittstelle kann unverändert bleiben.

Sie können die MAC-Adresse der Bindung so ändern, dass sie sich von der MAC-Adresse für die (aktuelle) Verwaltungsschnittstellen-NIC unterscheidet. Da die Bindung aktiviert ist und sich die verwendete MAC/IP-Adresse ändert, werden vorhandene Netzwerksitzungen an den Host gelöscht.

Sie können die MAC-Adresse für eine Bindung auf zwei Arten steuern:

  • Ein optionaler Parameter mac kann im Befehl bond-create angegeben werden. Sie können diesen Parameter verwenden, um die Bindungs-MAC-Adresse auf eine beliebige Adresse zu setzen.

  • Wenn der Parameter mac nicht angegeben ist, verwendet Citrix Hypervisor die MAC-Adresse der Verwaltungsschnittstelle, wenn es sich um eine der Schnittstellen in der Bindung handelt. Wenn die Verwaltungsschnittstelle nicht Teil der Bindung ist, aber eine andere Verwaltungsschnittstelle ist, verwendet die Bindung die MAC-Adresse (und auch die IP-Adresse) dieser Verwaltungsschnittstelle. Wenn keine der NICs in der Bindung eine Verwaltungsschnittstelle ist, verwendet die Bindung den MAC der ersten benannten NIC.

NIC-Bindungen zurücksetzen

Wenn Sie den Citrix Hypervisor-Server auf eine nicht gebundene Konfiguration zurücksetzen, konfiguriert der Befehl bond-destroyautomatisch die primäre Netzwerkkarte als Schnittstelle für die Verwaltungsschnittstelle. Daher werden alle VIFs in die Verwaltungsschnittstelle verschoben. Wenn sich die Verwaltungsschnittstelle eines Hosts auf einer mit Tags versehenen VLAN-Schnittstelle befindet, wird das Verwaltungs-VLAN bei der Ausführung bond-destroyauf die primäre NIC verschoben.

Der Begriff primäre NIC bezieht sich auf den PIF, von dem die MAC- und IP-Konfiguration beim Erstellen der Bindung kopiert wurde. Beim Verbinden von zwei NICs lautet die primäre NIC:

  1. Die Verwaltungsschnittstellen-NIC (wenn die Verwaltungsschnittstelle eine der gebundenen NICs ist).

  2. Jede andere NIC mit einer IP-Adresse (wenn die Verwaltungsschnittstelle nicht Teil der Bindung war).

  3. Die erste NIC mit dem Namen. Sie können herausfinden, welches es sich handelt, indem Sie Folgendes ausführen:

    xe bond-list params=all
    

Erstellen von NIC-Bindungen in Ressourcenpools

Erstellen Sie nach Möglichkeit Netzwerkkartenbindungen im Rahmen der anfänglichen Ressourcenpoolerstellung, bevor Sie weitere Hosts mit dem Pool verbinden oder VMs erstellen. Dadurch kann die Bindungskonfiguration automatisch auf Hosts repliziert werden, wenn sie mit dem Pool verbunden sind, und die Anzahl der erforderlichen Schritte wird reduziert.

Das Hinzufügen einer NIC-Bondung zu einem vorhandenen Pool erfordert eine der folgenden Optionen:

  • Verwenden der CLI, um die Bindungen auf dem Master und dann jedes Mitglied des Pools zu konfigurieren.

  • Verwenden der CLI, um Bindungen auf dem Master zu konfigurieren und anschließend jedes Poolmitglied neu zu starten, damit es seine Einstellungen vom Master erbt.

  • Verwenden von XenCenter zum Konfigurieren der Bindungen auf dem Master. XenCenter synchronisiert die Netzwerkeinstellungen auf den Mitgliedsservern automatisch mit dem Master, sodass Sie die Mitgliedsserver nicht neu starten müssen.

Zur Vereinfachung und zur Vermeidung von Fehlkonfigurationen empfehlen wir, XenCenter zum Erstellen von NIC-Bonds zu verwenden. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkkarten.

In diesem Abschnitt wird die Verwendung der x-Befehlszeilenschnittstelle zum Erstellen von gebundenen NIC-Schnittstellen auf Citrix Hypervisor-Servern beschrieben, die einen Ressourcenpool umfassen. Informationen zur Verwendung der xe CLI zum Erstellen von NIC-Bindungen auf einem eigenständigen Host finden Sie unter Erstellen von NIC-Bindungen auf einem eigenständigen Host.

Warnung:

Versuchen Sie nicht, Netzwerkverbindungen zu erstellen, wenn Hochverfügbarkeit aktiviert ist. Der Prozess der Bindungserstellung stört die laufenden Hochverfügbarkeits-Heartbeating und bewirkt, dass Hosts sich selbst abschalten (sich selbst abschalten). Die Hosts können nicht ordnungsgemäß neu gestartet werden und benötigen möglicherweise den Befehl host-emergency-ha-disable zum Wiederherstellen.

Wählen Sie den Host aus, der als Master fungieren soll. Der Master-Host gehört standardmäßig zu einem unbenannten Pool. Um einen Ressourcenpool mit der CLI zu erstellen, benennen Sie den vorhandenen namenlosen Pool um:

xe pool-param-set name-label="New Pool" uuid=pool_uuid

Erstellen Sie die NIC-Bondung wie unter beschrieben Erstellen einer NIC-Bondung.

Öffnen Sie eine Konsole auf einem Host, den Sie dem Pool beitreten möchten, und führen Sie den folgenden Befehl aus:

xe pool-join master-address=host1 master-username=root master-password=password

Die Netzwerk- und Bondinformationen werden automatisch auf den neuen Host repliziert. Die Verwaltungsschnittstelle wird automatisch von der Host-NIC, von der sie ursprünglich konfiguriert wurde, auf den gebundenen PIF verschoben. Das heißt, die Management-Schnittstelle wird nun in die Bindung aufgenommen, so dass die gesamte Bindung als Management-Schnittstelle fungiert.

Verwenden Sie den Befehl host-list, um die UUID des zu konfigurierenden Hosts zu finden:

xe host-list

Warnung:Versuchen

Sie nicht, Netzwerkverbindungen zu erstellen, während die hohe Verfügbarkeit aktiviert ist. Der Prozess der Bindungserstellung stört die laufenden Hochverfügbarkeits-Heartbeating und bewirkt, dass Hosts sich selbst abschalten (sich selbst abschalten). Die Hosts können möglicherweise nicht ordnungsgemäß neu gestartet werden, und Sie müssen den Befehl host-emergency-ha-disable zum Wiederherstellen ausführen.

Konfigurieren einer dedizierten Speicher-NIC

Sie können XenCenter oder die xe CLI verwenden, um einer Netzwerkkarte eine IP-Adresse zuzuweisen und sie einer bestimmten Funktion, z. B. dem Speicherdatenverkehr, zuzuweisen. Wenn Sie eine Netzwerkkarte mit einer IP-Adresse konfigurieren, erstellen Sie dazu eine sekundäre Schnittstelle. (Die IP-aktivierte Netzwerkkarte Citrix Hypervisor für die Verwaltung wird als Verwaltungsschnittstelle bezeichnet.)

Wenn Sie eine sekundäre Schnittstelle für einen bestimmten Zweck festlegen möchten, stellen Sie sicher, dass die entsprechende Netzwerkkonfiguration vorhanden ist. Dadurch wird sichergestellt, dass die NIC nur für den gewünschten Datenverkehr verwendet wird. Um eine Netzwerkkarte für den Speicherverkehr festzulegen, konfigurieren Sie die Netzwerkkarte, das Speicherziel, den Switch und das VLAN so, dass auf das Ziel nur über die zugewiesene Netzwerkkarte zugegriffen werden kann. Wenn Ihre physische Konfiguration und IP-Konfiguration den Datenverkehr nicht einschränkt, der über die Speicher-NIC gesendet wird, können Sie Datenverkehr senden, z. B. den Verwaltungsdatenverkehr über die sekundäre Schnittstelle.

Wenn Sie eine neue sekundäre Schnittstelle für Speicherdatenverkehr erstellen, müssen Sie ihr eine IP-Adresse zuweisen, die lautet:

  • Im selben Subnetz wie der Speichercontroller, falls zutreffend, und

  • Nicht im selben Subnetz wie bei anderen sekundären Schnittstellen oder der Verwaltungsschnittstelle.

Wenn Sie sekundäre Schnittstellen konfigurieren, muss sich jede sekundäre Schnittstelle in einem separaten Subnetz befinden. Wenn Sie beispielsweise zwei weitere sekundäre Schnittstellen für den Speicher konfigurieren möchten, benötigen Sie IP-Adressen in drei verschiedenen Subnetzen — ein Subnetz für die Verwaltungsschnittstelle, ein Subnetz für sekundäre Schnittstelle 1 und ein Subnetz für sekundäre Schnittstelle 2.

Wenn Sie Bonding für die Ausfallsicherheit für Ihren Speicherverkehr verwenden, sollten Sie LACP anstelle der Linux-Brückenbindung verwenden. Um LACP-Bonding verwenden zu können, müssen Sie den vSwitch als Netzwerkstapel konfigurieren. Weitere Informationen finden Sie unter vSwitch-Netzwerke.

Hinweis:

Wenn Sie eine Netzwerkkarte auswählen, die als sekundäre Schnittstelle für die Verwendung mit iSCSI- oder NFS-SRs konfiguriert werden soll, stellen Sie sicher, dass die dedizierte Netzwerkkarte ein separates IP-Subnetz verwendet, das von der Verwaltungsschnittstelle nicht routingfähig ist. Wenn dies nicht erzwungen wird, kann der Speicherverkehr nach einem Host-Neustart über die Hauptverwaltungsschnittstelle geleitet werden, da die Netzwerkschnittstellen initialisiert werden.

Stellen Sie sicher, dass sich der PIF in einem separaten Subnetz befindet oder dass das Routing entsprechend der Netzwerktopologie konfiguriert ist, um den gewünschten Datenverkehr über den ausgewählten PIF zu erzwingen.

Richten Sie eine IP-Konfiguration für den PIF ein und fügen Sie entsprechende Werte für den Modusparameter hinzu. Wenn Sie statische IP-Adressierung verwenden, fügen Sie die Parameter IP, Netzmaske, Gateway und DNS hinzu:

xe pif-reconfigure-ip mode=DHCP | Static uuid=pif-uuid

Setzen Sie den Parameter disallow-unplug des PIF auf true:

xe pif-param-set disallow-unplug=true uuid=pif-uuid
xe pif-param-set other-config:management_purpose="Storage" uuid=pif-uuid

Wenn Sie eine sekundäre Schnittstelle für den Speicher verwenden möchten, die auch von der Verwaltungsschnittstelle geleitet werden kann (wobei diese Konfiguration nicht die bewährte Vorgehensweise ist), haben Sie zwei Möglichkeiten:

  • Stellen Sie nach einem Neustart des Hosts sicher, dass die sekundäre Schnittstelle korrekt konfiguriert ist. Verwenden Sie die Befehle xe pbd-unplug und xe pbd-plug, um die Speicherverbindungen auf dem Host neu zu initialisieren. Mit diesem Befehl wird die Speicherverbindung neu gestartet und über die richtige Schnittstelle geleitet.

  • Alternativ können xe pif-forget Sie die Schnittstelle aus der Citrix Hypervisor Datenbank löschen und manuell in der Steuerungsdomäne konfigurieren. xe pif-forget ist eine erweiterte Option und erfordert, dass Sie mit der manuellen Konfiguration von Linux-Netzwerken vertraut sind.

Verwenden von SR-IOV-fähigen NICs

Single Root I/O Virtualization (SR-IOV) ist eine Virtualisierungstechnologie, mit der ein einzelnes PCI-Gerät als mehrere PCI-Geräte auf dem physischen System angezeigt werden kann. Das eigentliche physische Gerät wird als Physikalische Funktion (PF) bezeichnet, während die anderen als Virtual Functions (VF) bezeichnet werden. Der Hypervisor kann einer virtuellen Maschine (VM) eine oder mehrere VFs zuweisen: Der Gast kann das Gerät dann so verwenden, als wäre es direkt zugewiesen.

Durch das Zuweisen einer oder mehrerer NIC-VFs zu einer VM kann der Netzwerkdatenverkehr den virtuellen Switch umgehen. Bei der Konfiguration verhält sich jede VM so, als ob sie die NIC direkt verwendet, was den Verarbeitungsaufwand verringert und die Leistung verbessert.

Vorteile von SR-IOV

Ein SR-IOV VF hat eine bessere Leistung als VIF. Sie kann die hardwarebasierte Trennung zwischen Datenverkehr von verschiedenen VMs über dieselbe Netzwerkkarte sicherstellen (unter Umgehung des Citrix Hypervisor Netzwerkstacks).

Mit dieser Funktion können Sie:

  • Aktivieren Sie SR-IOV auf Netzwerkkarten, die SR-IOV unterstützen.

  • Deaktivieren Sie SR-IOV auf Netzwerkkarten, die SR-IOV unterstützen.

  • Verwalten Sie SR-IOV-VFs als VF-Ressourcenpool.

  • Weisen Sie einer VM SR-IOV-VFs zu.

  • Konfigurieren Sie SR-IOV VFs (z. B. MAC-Adresse, VLAN, Rate).

  • Führen Sie Tests durch, um zu bestätigen, ob SR-IOV als Teil des Automated Certification Kit unterstützt wird.

Systemkonfiguration

Konfigurieren Sie die Hardwareplattform korrekt, um SR-IOV zu unterstützen. Folgende Technologien werden benötigt:

  • I/O-MMU-Virtualisierung (AMD-VI und Intel VT-d)

  • Alternative Routing-ID-Interpretation (ARI)

  • Adressübersetzungsdienste (ATS)

  • Zugriffssteuerungsdienste (ACS)

Informationen zur Konfiguration des BIOS für die Aktivierung der genannten Technologien finden Sie in der Dokumentation Ihres Systems.

Aktivieren eines SR-IOV-Netzwerks auf einer Netzwerkkarte

Verwenden Sie in XenCenter den Assistenten für Neues Netzwerk auf der Registerkarte Netzwerk, um ein SR-IOV-Netzwerk auf einer Netzwerkkarte zu erstellen und zu aktivieren.

Zuweisen eines SR-IOV-Netzwerks zur virtuellen Schnittstelle (VM-Ebene)

Verwenden Sie in XenCenter auf VM-Ebene den Assistenten zum Hinzufügen virtueller Schnittstelle auf der Registerkarte Netzwerk, um ein SR-IOV-aktiviertes Netzwerk als virtuelle Schnittstelle für diese VM hinzuzufügen. Weitere Informationen finden Sie unter Neues Netzwerk hinzufügen.

Unterstützte NICs und Gäste

Eine Liste der unterstützten Hardwareplattformen und Netzwerkkarten finden Sie unter Hardwarekompatibilitätsliste. Sehen Sie sich die Dokumentation des Herstellers für einen bestimmten Gast an, um zu ermitteln, ob er SR-IOV unterstützt.

Einschränkungen

  • Bei bestimmten Netzwerkkarten, die Legacy-Treiber verwenden (z. B. Intel I350-Produktreihe), muss der Host neu gestartet werden, um SR-IOV auf diesen Geräten zu aktivieren oder zu deaktivieren.

  • Nur HVM-Gäste werden mit SR-IOV unterstützt.

  • Ein SR-IOV-Netzwerk auf Poolebene mit unterschiedlichen NIC-Typen wird nicht unterstützt.

  • Ein SR-IOV-VF und ein normaler VIF von derselben NIC können aufgrund der NIC-Hardwarebeschränkungen möglicherweise nicht miteinander kommunizieren. Damit diese Hosts kommunizieren können, stellen Sie sicher, dass die Kommunikation das Muster VF zu VF oder VIF zu VIF und nicht VF zu VIF verwendet.

  • Die Dienstqualitätseinstellungen für einige SR-IOV-VFs werden nicht wirksam, da sie die Begrenzung der Netzwerkgeschwindigkeit nicht unterstützen.

  • Die Durchführung von Livemigration, Suspend und Checkpoint wird auf VMs mit einer SR-IOV-VF nicht unterstützt.

  • SR-IOV VFs unterstützen kein Hot-Plugging.

  • Bei einigen NICs mit älteren NIC-Treibern ist möglicherweise ein Neustart auch nach dem Neustart des Hosts erforderlich, was darauf hinweist, dass die NIC SR-IOV nicht aktivieren kann.

  • VMs, die in früheren Versionen erstellt wurden, können diese Funktion von XenCenter nicht verwenden.

  • Wenn Ihre VM über eine SR-IOV-VF verfügt, sind Funktionen, die eine Live-Migration erfordern, nicht möglich. Dies liegt daran, dass die VM direkt an die physische SR-IOV-fähige NIC-VF gebunden ist.

  • Hardware-Einschränkung: Die SR-IOV-Funktion beruht darauf, dass der Controller Gerätefunktionen innerhalb von 100 ms auf einen unberührten Zustand zurücksetzt, wenn der Hypervisor mit Funktion Level Reset (FLR) angefordert hat.

  • SR-IOV kann in einer Umgebung verwendet werden, die hohe Verfügbarkeit nutzt. SR-IOV wird jedoch bei der Kapazitätsplanung nicht berücksichtigt. VMs, denen SR-IOV-VFs zugewiesen sind, werden nach bestem Aufwand neu gestartet, wenn sich ein Host im Pool befindet, der über entsprechende Ressourcen verfügt. Zu diesen Ressourcen gehören SR-IOV, das im richtigen Netzwerk aktiviert ist, und eine freie VF.

Konfigurieren von SR-IOV-VFs für ältere Treiber

Normalerweise kann die maximale Anzahl von VFs, die eine NIC unterstützen kann, automatisch ermittelt werden. Bei NICs, die ältere Treiber verwenden (z. B. Intel I350-Produktreihe), wird der Grenzwert in der Konfigurationsdatei des Treibermoduls festgelegt. Möglicherweise muss das Limit manuell eingestellt werden. Um es auf das Maximum zu setzen, öffnen Sie die Datei mit einem Editor und ändern Sie die Zeile beginnend:

## VFs-maxvfs-by-user:

Zum Beispiel, um die maximalen VFs auf 4 für die Bearbeitung des igb-Treibers /etc/modprobe.d/igb.conf zu setzen:

## VFs-param: max_vfs
## VFs-maxvfs-by-default: 7
## VFs-maxvfs-by-user: 4
options igb max_vfs=0

Hinweise:

  • Der Wert muss kleiner oder gleich dem Wert in der Zeile sein VFs-maxvfs-by-default.

  • Ändern Sie keine andere Zeile in diesen Dateien.

  • Nehmen Sie die Änderungen vor, bevor Sie SR-IOV aktivieren.

CLI

[SR-IOV-Befehle()] Weitere Informationen finden Sie unter CLI-Anweisungen zum Erstellen, Löschen, Anzeigen von SR-IOV-Netzwerken und zum Zuweisen einer SR-IOV-VF zu einer VM.

Steuern Sie die Rate ausgehender Daten (QoS)

Um die Menge der ausgehenden Daten zu begrenzen, die eine VM pro Sekunde senden kann, legen Sie einen optionalen QoS-Wert (Quality of Service) für virtuelle VM-Schnittstellen (VIFs) fest. Mit dieser Einstellung können Sie eine maximale Übertragungsrate für ausgehende Pakete in Kilobyte pro Sekunde angeben.

Der Wert “Quality of Service” begrenzt die Übertragungsrate von der VM. Die Einstellung “Quality of Service” beschränkt nicht die Datenmenge, die die VM empfangen kann. Wenn ein solches Limit gewünscht wird, empfehlen wir, die Rate der eingehenden Pakete höher im Netzwerk zu begrenzen (z. B. auf Switch-Ebene).

Abhängig vom Netzwerk-Stack, der im Pool konfiguriert ist, können Sie den Quality of Service Wert für virtuelle VM-Schnittstellen (VIFs) an einem von zwei Stellen festlegen. Entweder mit der Xe-Befehlszeilenschnittstelle oder in XenCenter).

  • XenCenter Sie können den Grenzwert für die Quality of Service-Übertragungsrate im Eigenschaftendialogfeld für die virtuelle Schnittstelle festlegen.
  • xe Befehle Sie können die Übertragungsrate von Quality of Service über die CLI mit den Befehlen im folgenden Abschnitt festlegen.

Beispiel für CLI-Befehl für QoS

Um eine VIF mit der CLI auf eine maximale Übertragungsrate von 100 Kilobyte pro Sekunde zu beschränken, verwenden Sie den Befehl vif-param-set:

xe vif-param-set uuid=vif_uuid qos_algorithm_type=ratelimit
xe vif-param-set uuid=vif_uuid qos_algorithm_params:kbps=100

Ändern der Netzwerkkonfigurationsoptionen

In diesem Abschnitt wird beschrieben, wie Sie die Netzwerkkonfiguration des Citrix Hypervisor-Servers ändern. Folgendes ist eingeschlossen:

  • Ändern des Hostnamens (d. h. des DNS-Namens (Domain Name System))

  • Hinzufügen oder Löschen von DNS-Servern

  • Ändern von IP-Adressen

  • Ändern der Netzwerkkarte, die als Verwaltungsschnittstelle verwendet wird

  • Hinzufügen einer neuen physischen NIC zum Server

  • Hinzufügen eines Zwecks zu einem Netzwerk

  • ARP-Filterung aktivieren (Switch-Port-Sperre)

Hostname

Der Systemhostname, auch als Domain- oder DNS-Name bezeichnet, wird in der poolweiten Datenbank definiert und mit dem CLI-Befehl xe host-set-hostname-live wie folgt geändert:

xe host-set-hostname-live host-uuid=host_uuid host-name=host-name

Der zugrunde liegende Hostname der Steuerelementdomäne ändert sich dynamisch, um den neuen Hostnamen wiederzugeben.

DNS-Server

Verwenden Sie den Befehl pif-reconfigure-ip, um DNS-Server in der IP-Adresskonfiguration des Citrix Hypervisor-Servers hinzuzufügen oder zu löschen. Beispiel: Bei einem PIF mit einer statischen IP:

pif-reconfigure-ip uuid=pif_uuid mode=static DNS=new_dns_ip

Ändern der IP-Adresskonfiguration für einen eigenständigen Host

Sie können die Xe-CLI verwenden, um die Netzwerkschnittstellenkonfiguration zu ändern. Ändern Sie die zugrunde liegenden Netzwerkkonfigurationsskripte nicht direkt.

Um die IP-Adresskonfiguration eines PIF zu ändern, verwenden Sie den CLI-Befehl pif-reconfigure-ip. Weitere Informationen zu den Parametern des Befehls pif-reconfigure-ip finden Sie unter pif-reconfigure-ip. Weitere Informationen zum Ändern von Host-IP-Adressen in Ressourcenpools finden Sie im folgenden Abschnitt.

Ändern der IP-Adresskonfiguration in Ressourcenpools

Citrix Hypervisor-Server in Ressourcenpools verfügen über eine einzige Verwaltungs-IP-Adresse, die für die Verwaltung und Kommunikation mit und von anderen Hosts im Pool verwendet wird. Die Schritte, die zum Ändern der IP-Adresse der Verwaltungsschnittstelle eines Hosts erforderlich sind, unterscheiden sich für Master- und andere Hosts.

Hinweis:

Sie müssen vorsichtig sein, wenn Sie die IP-Adresse eines Servers und andere Netzwerkparameter ändern. Abhängig von der Netzwerktopologie und den vorgenommenen Änderungen können Verbindungen zum Netzwerkspeicher verloren gehen. In diesem Fall muss der Speicher mit der Funktion Speicher reparieren in XenCenter oder mit dem CLI-Befehl pbd-plug neu angeschlossen werden. Aus diesem Grund empfehlen wir, dass Sie VMs vom Server weg migrieren, bevor Sie die IP-Konfiguration ändern.

Verwenden Sie den CLI-Befehl pif-reconfigure-ip, um die IP-Adresse wie gewünscht festzulegen. Weitere Informationen zu den Parametern des Befehls pif-reconfigure-ip finden Sie unter pif-reconfigure-ip.

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Verwenden Sie den CLI-Befehl host-list, um zu bestätigen, dass der Mitgliedshost erfolgreich wieder mit dem Master-Host verbunden ist, indem Sie überprüfen, ob alle anderen Citrix Hypervisor-Server im Pool sichtbar sind:

xe host-list

Das Ändern der IP-Adresse des Citrix Hypervisor masterservers erfordert zusätzliche Schritte. Dies liegt daran, dass jedes Poolmitglied die angekündigte IP-Adresse des Pool-Masters für die Kommunikation verwendet. Die Poolmitglieder wissen nicht, wie man den Master kontaktiert, wenn sich seine IP-Adresse ändert.

Verwenden Sie, wann immer möglich, eine dedizierte IP-Adresse, die sich für die Lebensdauer des Pools für Poolmaster nicht ändert.

Verwenden Sie den CLI-Befehl pif-reconfigure-ip, um die IP-Adresse wie gewünscht festzulegen:

xe pif-reconfigure-ip uuid=pif_uuid mode=DHCP

Wenn sich die IP-Adresse des Pool-Masters ändert, wechseln alle Mitgliedshosts in einen Notfallmodus, wenn sie den Master-Host nicht kontaktieren können.

Verwenden Sie auf dem Poolmaster den Befehl pool-recover-slaves, um den Master zu erzwingen, jedes Poolmitglied zu kontaktieren und sie über die neue Master-IP-Adresse zu informieren:

xe pool-recover-slaves

Verwaltungsoberfläche

Wenn Citrix Hypervisor auf einem Host mit mehreren Netzwerkkarten installiert ist, wird eine Netzwerkkarte zur Verwendung als Verwaltungsschnittstelle ausgewählt. Die Verwaltungsschnittstelle wird für XenCenter Verbindungen zum Host und für die Host-zu-Host-Kommunikation verwendet.

Verwenden Sie den Befehl pif-list, um zu bestimmen, welcher PIF der NIC entspricht, die als Verwaltungsschnittstelle verwendet werden soll. Die UUID jedes PIF wird zurückgegeben.

xe pif-list

Verwenden Sie den Befehl pif-param-list, um die IP-Adresskonfiguration für den PIF zu überprüfen, der für die Verwaltungsschnittstelle verwendet wird. Verwenden Sie ggf. den Befehl pif-reconfigure-ip, um die IP-Adressierung für den zu verwendenden PIF zu konfigurieren.

xe pif-param-list uuid=pif_uuid

Verwenden Sie den CLI-Befehl host-management-reconfigure, um die für die Verwaltungsschnittstelle verwendete PIF zu ändern. Wenn dieser Host Teil eines Ressourcenpools ist, muss dieser Befehl auf der Mitgliedshost-Konsole ausgegeben werden:

xe host-management-reconfigure pif-uuid=pif_uuid

Verwenden Sie den Befehl network-list, um zu bestimmen, welcher PIF der NIC entspricht, die als Verwaltungsschnittstelle für alle Hosts im Pool verwendet werden soll. Die UUID des poolweiten Netzwerks wird zurückgegeben.

xe network-list

Verwenden Sie den Befehl network-param-list, um die PIF-UUIDs aller Hosts im Pool abzurufen. Verwenden Sie den pif-param-list Befehl, um die IP-Adresskonfiguration für den PIF für die Verwaltungsschnittstelle zu überprüfen. Verwenden Sie ggf. den Befehl pif-reconfigure-ip, um die IP-Adressierung für den zu verwendenden PIF zu konfigurieren.

xe pif-param-list uuid=pif_uuid

Verwenden Sie den CLI-Befehl pool-management-reconfigure, um den PIF zu ändern, der für die Verwaltungsschnittstelle verwendet wird, die in der Liste Netzwerke aufgeführt ist.

xe pool-management-reconfigure network-uuid=network_uuid

Management-Zugriff deaktivieren

Um den Remotezugriff auf die Verwaltungskonsole vollständig zu deaktivieren, verwenden Sie den CLI-Befehl host-management-disable.

Warnung:

Wenn die Verwaltungsschnittstelle deaktiviert ist, müssen Sie sich an der physischen Hostkonsole anmelden, um Verwaltungsaufgaben auszuführen. Externe Schnittstellen wie XenCenter funktionieren nicht, wenn die Verwaltungsschnittstelle deaktiviert ist.

Hinzufügen einer neuen physischen NIC

Installieren Sie eine neue physische NIC auf dem Citrix Hypervisor-Server wie gewohnt. Führen Sie nach dem Neustart des Servers den xe-Befehl CLI-Befehl pif-scan aus, um ein neues PIF-Objekt für die neue NIC zu erstellen.

Entfernen einer physischen NIC

Stellen Sie vor dem Entfernen der Netzwerkkarte sicher, dass Sie die UUID des entsprechenden PIF kennen. Entfernen Sie die physische Netzwerkkarte wie gewohnt vom Citrix Hypervisor-Server. Führen Sie nach dem Neustart des Servers den xe-Befehl CLI-Befehl pif-forget uuid=<UUID> aus, um das PIF-Objekt zu zerstören.

Hinzufügen eines Zwecks zu einem Netzwerk

Der Netzwerkzweck kann verwendet werden, um zusätzliche Funktionalitäten zu einem Netzwerk hinzuzufügen. Zum Beispiel die Möglichkeit, das Netzwerk zu verwenden, um NBD-Verbindungen herzustellen.

Um einen Netzwerkzweck hinzuzufügen, verwenden Sie den Befehl xe network-param-add:

xe network-param-add param-name=purpose param-key=purpose uuid=network-uuid

Um einen Netzwerkzweck zu löschen, verwenden Sie den Befehl xe network-param-remove:

xe network-param-remove param-name=purpose param-key=purpose uuid=network-uuid

Derzeit sind die verfügbaren Werte für den Netzwerkzweck nbd und insecure_nbd. Weitere Informationen finden Sie unter Citrix Hypervisor Handbuch für Changed Block Tracking.

Switch-Port-Verriegelung verwenden

Mit der Citrix Hypervisor -Switchport-Sperrfunktion können Sie den Datenverkehr steuern, der von unbekannten, nicht vertrauenswürdigen oder potenziell feindlichen VMs gesendet wird, indem sie die Möglichkeit einschränken, so zu tun, als hätten sie eine MAC- oder IP-Adresse, die ihnen nicht zugewiesen wurde. Sie können die Portsperrbefehle verwenden, um standardmäßig den gesamten Datenverkehr in einem Netzwerk zu blockieren oder bestimmte IP-Adressen zu definieren, von denen eine einzelne VM Datenverkehr senden darf.

Die Switch-Port-Sperrung ist eine Funktion, die für Anbieter öffentlicher Cloud-Services in Umgebungen entwickelt wurde, die sich um interne Bedrohungen kümmern. Diese Funktionalität unterstützt Anbieter öffentlicher Cloud-Services, die über eine Netzwerkarchitektur verfügen, in der jede VM über eine öffentliche IP-Adresse mit Internetverbindung verfügt. Da Cloud-Mandanten nicht vertrauenswürdig sind, können Sie Sicherheitsmaßnahmen wie Spoofing-Schutz verwenden, um sicherzustellen, dass Mandanten keine anderen virtuellen Maschinen in der Cloud angreifen können.

Durch die Switch-Port-Sperrung können Sie Ihre Netzwerkkonfiguration vereinfachen, indem Sie allen Mandanten oder Gästen die Verwendung desselben Layer-2-Netzwerks ermöglichen.

Eine der wichtigsten Funktionen der Portsperrbefehle ist, dass sie den Datenverkehr einschränken können, den ein nicht vertrauenswürdiger Gast sendet. Dies schränkt die Fähigkeit des Gastes ein, so zu tun, als hätte er eine MAC- oder IP-Adresse, die er nicht besitzt. Insbesondere können Sie diese Befehle verwenden, um zu verhindern, dass ein Gast:

  • Anfordern einer anderen IP- oder MAC-Adresse als der vom Citrix Hypervisor Administrator angegebenen IP- oder MAC-Adresse

  • Abfangen, Spoofing oder Unterbrechen des Datenverkehrs anderer VMs

Anforderungen

  • Die Citrix Hypervisor -Switch-Port-Sperrfunktion wird auf den Linux-Brücken- und vSwitch-Netzwerkstacks unterstützt.

  • Wenn Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) in Ihrer Umgebung aktivieren, muss der Benutzer, der die Switch-Port-Sperrung konfiguriert, mit einem Konto angemeldet sein, das mindestens eine Pool-Operator oder Pool-Administratorrolle hat. Wenn RBAC in Ihrer Umgebung nicht aktiviert ist, muss der Benutzer mit dem Root-Konto für den Poolmaster angemeldet sein.

  • Wenn Sie die Befehle zum Sperren von Switch-Ports ausführen, können Netzwerke online oder offline sein.

  • In Windows-Gastgästen wird das Symbol “getrenntes Netzwerk” nur angezeigt, wenn Citrix VM-Tools im Gast installiert sind.

Notizen

Ohne Switch-Port-Sperrkonfigurationen werden VIFs auf “network_default” und Netzwerke auf “entsperrt” gesetzt.

Das Konfigurieren von Switch-Port-Sperren wird nicht unterstützt, wenn Controller von Drittanbietern in der Umgebung verwendet werden.

Die Switch-Port-Sperrung verhindert nicht, dass Cloud-Mandanten folgende Vorteile haben:

  • Durchführen eines Angriffs auf IP-Ebene auf einen anderen Mandanten/Benutzer. Die Switch-Port-Sperrung verhindert jedoch, dass sie den Angriff auf IP-Ebene durchführen, wenn sie versuchen, dies zu tun und die Switch-Port-Sperrung konfiguriert ist: a) die Identität eines anderen Mandanten in der Cloud oder des Benutzers oder b) die Initiierung eines Abfangens des Datenverkehrs, der für einen anderen Benutzer bestimmt ist.

  • Erschöpfende Netzwerkressourcen.

  • Empfangen von Datenverkehr, der für andere virtuelle Maschinen bestimmt ist, durch normales Switch-Überschwemmungsverhalten (für Broadcast-MAC-Adressen oder unbekannte Ziel-MAC-Adressen).

Ebenso schränkt die Switch-Port-Sperrung nicht ein, wo eine VM Datenverkehr senden kann.

Hinweise zur Implementierung

Sie können die Switch-Port-Sperrfunktion entweder über die Befehlszeile oder die Citrix Hypervisor -API implementieren. In großen Umgebungen, in denen Automatisierung ein Hauptanliegen ist, könnte die typischste Implementierungsmethode jedoch die Verwendung der API sein.

Beispiele

Dieser Abschnitt enthält Beispiele dafür, wie Switch-Port-Sperren bestimmte Arten von Angriffen verhindern können. In diesen Beispielen ist VM-c eine virtuelle Maschine, die ein feindlicher Mandant (Mandant C) leasiert und für Angriffe verwendet. VM-A und VM-B sind virtuelle Maschinen, die von nicht angreifenden Mandanten geleast werden.

Beispiel 1: Wie die Sperrung von Switch-Ports ARP-Spoofing verhindern kann:

ARP-Spoofing wird verwendet, um anzuzeigen, dass ein Angreifer versucht, seine MAC-Adresse mit der IP-Adresse eines anderen Knotens zu verknüpfen. ARP-Spoofing kann möglicherweise dazu führen, dass der Datenverkehr des Knotens stattdessen an den Angreifer gesendet wird. Um dieses Ziel zu erreichen, sendet der Angreifer gefälschte (gefälschte) ARP-Nachrichten an ein Ethernet-LAN.

Szenario:

Virtual Machine A (VM-a) möchte IP-Datenverkehr von VM-a an Virtual Machine B (VM-b) senden, indem er an die IP-Adresse von VM-b adressieren wird. Der Besitzer von Virtual Machine C möchte ARP-Spoofing verwenden, um so zu tun, als wäre ihre VM, VM-c, tatsächlich VM-b.

  1. VM-c sendet einen spekulativen Strom von ARP-Antworten an VM-a. Die ARP-Antworten behaupten, dass die MAC-Adresse in der Antwort (C_Mac) mit der IP-Adresse B_IP verknüpft ist

    Ergebnis: Da der Administrator die Switch-Port-Sperre aktiviert hat, werden diese Pakete alle gelöscht, da die Aktivierung der Switch-Port-Sperrung den Identitätswechsel verhindert.

  2. VM-b sendet eine ARP-Antwort an VM-a und behauptet, dass die MAC-Adresse in der Antwort (B_Mac) der IP-Adresse B_IP zugeordnet ist.

    Ergebnis: VM-a erhält die ARP-Antwort von VM-B.

Beispiel 2: IP-Spoofing-Prävention:

IP-Adressen-Spoofing ist ein Prozess, der die Identität von Paketen verbirgt, indem Internet Protocol (IP) -Pakete mit einer gefälschten Quell-IP-Adresse erstellt werden.

Szenario:

Mandant C versucht, einen Denial-of-Service-Angriff mit seinem Host Host-C auf einem Remote-System durchzuführen, um seine Identität zu verschleiern.

Versuch 1:

Mandant C setzt die IP-Adresse und die MAC-Adresse von Host-C auf die IP- und MAC-Adressen von VM-A (A_IP und A_Mac). Mandant C weist Host-C an, IP-Datenverkehr an ein Remotesystem zu senden.

Ergebnis: Die Host-C-Pakete werden gelöscht. Dies liegt daran, dass der Administrator die Switch-Port-Sperre aktiviert hat. Die Host-C-Pakete werden gelöscht, da die Aktivierung der Switch-Port-Sperre den Identitätswechsel verhindert.

Versuch 2:

Mandant C setzt die IP-Adresse von Host-C auf die IP-Adresse von VM-A (A_IP) und behält den ursprünglichen C_Mac bei.

Mandant C weist Host-C an, IP-Datenverkehr an ein Remotesystem zu senden.

Ergebnis: Die Host-C-Pakete werden gelöscht. Dies liegt daran, dass der Administrator die Switch-Port-Sperre aktiviert hat, wodurch der Identitätswechsel verhindert wird.

Beispiel 3: Webhosting:

Szenario:

Alice ist Infrastrukturadministrator.

Einer ihrer Mandanten, Mandant B, hostet mehrere Websites von ihrer VM, VM-B. Jede Website benötigt eine eindeutige IP-Adresse, die auf derselben virtuellen Netzwerkschnittstelle (VIF) gehostet wird.

Alice konfiguriert die VIF von Host-B so, dass sie auf einen einzelnen MAC, aber viele IP-Adressen gesperrt werden.

Funktionsweise der Switch-Port-Verriegelung

Mit der Switch-Port-Sperrfunktion können Sie die Paketfilterung auf einer oder mehreren Ebenen steuern:

  • VIF-Niveau. Einstellungen, die Sie auf der VIF konfigurieren, bestimmen, wie Pakete gefiltert werden. Sie können die VIF so einstellen, dass die VM keinen Datenverkehr sendet, die VIF so beschränken, dass sie nur den Datenverkehr über die zugewiesene IP-Adresse senden kann, oder der VM erlauben, Datenverkehr an eine beliebige IP-Adresse im Netzwerk zu senden, das mit dem VIF verbunden ist.

  • Netzwerkebene. Das Citrix Hypervisor Netzwerk bestimmt, wie Pakete gefiltert werden. Wenn der Sperrmodus eines VIF auf eingestellt ist network_default, bezieht er sich auf die Sperreinstellung auf Netzwerkebene, um zu bestimmen, welcher Datenverkehr zugelassen werden soll.

Unabhängig davon, welchen Netzwerkstapel Sie verwenden, funktioniert die Funktion auf die gleiche Weise. Wie jedoch in den folgenden Abschnitten ausführlicher beschrieben, unterstützt die Linux-Brücke die Switch-Port-Sperrung in IPv6 nicht vollständig.

VIF-Sperrmodus Zustände

Die Citrix Hypervisor -Switchport-Sperrfunktion bietet einen Sperrmodus, mit dem Sie VIFs in vier verschiedenen Zuständen konfigurieren können. Diese Zustände gelten nur, wenn die VIF an eine ausgeführte virtuelle Maschine angeschlossen ist.

![Diese Abbildung zeigt, wie sich drei verschiedene VIF-Sperrmoduszustände verhalten, wenn der Netzwerksperrmodus auf Entsperrt eingestellt ist und der VIF-Status konfiguriert ist. Im ersten Bild ist der VIF-Status standardmäßig festgelegt, sodass kein Datenverkehr von der VM gefiltert wird. Die VIF sendet oder empfängt keine Pakete, da der Sperrmodus im zweiten Bild auf disabled eingestellt ist. Im dritten Bild ist der VIF-Status auf gesperrt festgelegt. Das bedeutet, dass das VIF Pakete nur senden kann, wenn diese Pakete die richtige MAC und IP-Adresse enthalten.] (/en-us/citrix-hypervisor/media/vif-switch-port-locking-modes.png)

  • Network_default. Wenn der Status der VIF auf network_default festgelegt ist , ermittelt Citrix Hypervisor anhand des Netzwerkparameters default-locking-mode, ob und wie Pakete gefiltert werden, die über das VIF reisen. Das Verhalten variiert je nachdem, ob im zugeordneten Netzwerk der Standard-Sperrmodus für den Netzwerk-Standard-Sperrmodus deaktiviert oder entsperrt ist:

    -default-locking-mode=disabled, wendet Citrix Hypervisor eine Filterregel an, so dass die VIF den gesamten Datenverkehr löscht.

    -default-locking-mode=entsperrt, entfernt Citrix Hypervisor alle Filterregeln, die der VIF zugeordnet sind. Standardmäßig ist der Standard-Sperrmodus Parameter auf unlocked eingestellt.

    Weitere Informationen zu dem Parameter default-locking-mode finden Sie unter Netzwerk-Befehle.

    Der Standardsperrmodus des Netzwerks hat keine Auswirkungen auf angeschlossene VIFs, deren Sperrstatus etwas anderes ist als network_default.

    Hinweis:

    Sie können default-locking-mode für eine Netzwerk, das aktive VIFs angehängt hat, nicht ändern.

  • Gesperrt. Citrix Hypervisor wendet Filterregeln an, sodass nur Datenverkehr, der an die angegebenen MAC- und IP-Adressen gesendet wird, über das VIF gesendet wird. Wenn in diesem Modus keine IP-Adressen angegeben sind, kann die VM in diesem Netzwerk keinen Datenverkehr über diese VIF senden.

    Um die IP-Adressen anzugeben, von denen das VIF Datenverkehr akzeptiert, verwenden Sie die IPv4- oder IPv6-IP-Adressen mit der Parameter ipv4_allowed oder ipv6_allowed. Wenn Sie jedoch die Linux-Brücke konfiguriert haben, geben Sie keine IPv6-Adressen ein.

    Mit Citrix Hypervisor können Sie IPv6-Adressen eingeben, wenn die Linux-Brücke aktiv ist. Citrix Hypervisor kann jedoch nicht basierend auf den eingegebenen IPv6-Adressen filtern. Der Grund dafür ist, dass die Linux-Brücke keine Module zum Filtern von NDP-Paketen (Neighbor Discovery Protocol) hat. Daher kann kein vollständiger Schutz implementiert werden, und Gäste könnten sich durch Fälschen von NDP-Paketen als einen anderen Gast ausgeben. Wenn Sie also nur eine IPv6-Adresse angeben, lässt Citrix Hypervisor den gesamten IPv6-Datenverkehr durch die VIF passieren. Wenn Sie keine IPv6-Adressen angeben, lässt Citrix Hypervisor keinen IPv6-Datenverkehr an die VIF weiterleiten.

  • Entsperrt. Der gesamte Netzwerkverkehr kann die VIF durchlaufen. Das heißt, keine Filter werden auf Datenverkehr angewendet, der zum oder von der VIF geht.

  • Deaktiviert. Es ist kein Datenverkehr erlaubt, die VIF zu durchlaufen. (Das heißt, Citrix Hypervisor wendet eine Filterregel an, sodass die VIF den gesamten Datenverkehr löscht.)

Konfigurieren der Switch-Port-Sperrung

Dieser Abschnitt enthält drei verschiedene Verfahren:

  • VIFs auf die Verwendung einer bestimmten IP-Adresse einschränken

  • Fügen Sie eine IP-Adresse zu einer vorhandenen Liste mit eingeschränkten Einschränkungen hinzu. Beispiel: Um einer VIF eine IP-Adresse hinzuzufügen, wenn die VM ausgeführt wird und mit dem Netzwerk verbunden ist (z. B. wenn Sie ein Netzwerk vorübergehend offline schalten).

  • Entfernen einer IP-Adresse aus einer vorhandenen eingeschränkten Liste

Wenn der Sperrmodus eines VIF auf locked eingestellt ist, können nur die Adressen verwendet werden, die in den Parametern ipv4-allowed oder ipv6-allowed angegeben sind.

Da VIFs in einigen relativ seltenen Fällen mehr als eine IP-Adresse haben können, ist es möglich, mehrere IP-Adressen für ein VIF anzugeben.

Sie können diese Verfahren ausführen, bevor oder nachdem die VIF angeschlossen wurde (oder die VM gestartet wurde).

Ändern Sie den Standardsperrmodus auf gesperrt, wenn er diesen Modus nicht bereits verwendet, indem Sie den folgenden Befehl ausführen:

xe vif-param-set uuid=vif-uuid locking-mode=locked

vif-uuid ist die UUID der VIF, für die Sie zulassen möchten, dass sie Datenverkehr sendet. Um die UUID zu erhalten, führen Sie den xe-Befehl vif-list auf dem Host aus. vm-uuid Gibt die virtuelle Maschine an, für die die Informationen angezeigt werden. Die Geräte-ID gibt die Gerätenummer des VIF an.

Führen Sie den Befehl vif-param-set aus, um die IP-Adressen anzugeben, von denen die virtuelle Maschine Datenverkehr senden kann. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie mindestens ein IPv4-IP-Adressenziel an. Beispiel:

     xe vif-param-set uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie ein oder mehrere IPv6-IP-Adressenziele an. Beispiel:

     xe vif-param-set uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Sie können mehrere IP-Adressen angeben, indem Sie sie durch ein Komma trennen, wie im vorherigen Beispiel gezeigt.

Nachdem Sie das Verfahren zum Beschränken einer VIF auf die Verwendung einer bestimmten IP-Adresse ausgeführt haben, können Sie eine oder mehrere IP-Adressen hinzufügen, die das VIF verwenden kann.

Führen Sie den Befehl vif-param-add aus, um die IP-Adressen der vorhandenen Liste hinzuzufügen. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie die IPv4-IP-Adresse an. Beispiel:

     xe vif-param-add uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie die IPv6-IP-Adresse an. Beispiel:

     xe vif-param-add uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Wenn Sie eine VIF auf die Verwendung von zwei oder mehr IP-Adressen beschränken, können Sie eine dieser IP-Adressen aus der Liste löschen.

Führen Sie den Befehl vif-param-remove aus, um die IP-Adressen aus der vorhandenen Liste zu löschen. Führen Sie eine oder mehrere der folgenden Aktionen aus:

  • Geben Sie die zu löschende IPv4-IP-Adresse an. Beispiel:

     xe vif-param-remove uuid=vif-uuid ipv4-allowed=comma separated list of ipv4-addresses
    
  • Geben Sie die zu löschende IPv6-IP-Adresse an. Beispiel:

     xe vif-param-remove uuid=vif-uuid ipv6-allowed=comma separated list of ipv6-addresses
    

Verhindern, dass eine virtuelle Maschine Datenverkehr von einem bestimmten Netzwerk sendet oder empfängt

Das folgende Verfahren verhindert, dass eine virtuelle Maschine über eine bestimmte VIF kommuniziert. Wenn eine VIF eine Verbindung zu einem bestimmten Citrix Hypervisor Netzwerk herstellt, können Sie mit diesem Verfahren verhindern, dass eine virtuelle Maschine Datenverkehr aus einem bestimmten Netzwerk sendet oder empfängt. Dies bietet eine detailliertere Kontrolle als das Deaktivieren eines gesamten Netzwerks.

Wenn Sie den CLI-Befehl verwenden, müssen Sie die VIF nicht trennen, um den Sperrmodus des VIF einzustellen. Der Befehl ändert die Filterregeln, während die VIF ausgeführt wird. In diesem Fall scheint die Netzwerkverbindung immer noch vorhanden zu sein, die VIF löscht jedoch alle Pakete, die die VM zu senden versucht.

Tipp:

Um die UUID eines VIF zu finden, führen Sie den xe-Befehl vif-list auf dem Host aus. Die Geräte-ID gibt die Gerätenummer des VIF an.

Um zu verhindern, dass eine VIF Datenverkehr empfängt, deaktivieren Sie die VIF, die mit dem Netzwerk verbunden ist, von dem aus Sie verhindern möchten, dass die VM Datenverkehr empfängt:

xe vif-param-set uuid=vif-uuid locking-mode=disabled

Sie können die VIF auch in XenCenter deaktivieren, indem Sie die virtuelle Netzwerkschnittstelle auf der Registerkarte Netzwerk der VM auswählen und auf Deaktivieren klicken.

Entfernen der Einschränkung eines VIF auf eine IP-Adresse

Gehen Sie wie folgt vor, um den standardmäßigen (ursprünglichen) Sperrmodus wiederherzustellen. Wenn Sie eine VIF erstellen, konfiguriert Citrix Hypervisor diese standardmäßig so, dass sie nicht auf die Verwendung einer bestimmten IP-Adresse beschränkt ist.

Wenn Sie eine VIF in einen nicht gesperrten Zustand zurücksetzen möchten, ändern Sie den VIF-Standardsperrmodus in “entsperrt”. Wenn dieser Modus nicht bereits verwendet wird, führen Sie den folgenden Befehl aus:

xe vif-param-set uuid=vif_uuid locking-mode=unlocked

Vereinfachen Sie die Konfiguration des VIF-Sperrmodus in der Cloud

Anstatt die VIF-Sperrmodusbefehle für jedes VIF auszuführen, können Sie sicherstellen, dass alle VIFs standardmäßig deaktiviert sind. Dazu müssen Sie die Paketfilterung auf Netzwerkebene ändern. Das Ändern der Paketfilterung bewirkt, dass das Citrix Hypervisor Netzwerk bestimmt, wie Pakete gefiltert werden, wie im vorherigen Abschnitt Funktionsweise der Switch-Port-Sperrungbeschrieben wird.

Insbesondere bestimmt die default-locking-mode Einstellung eines Netzwerks, wie sich neue VIFs mit Standardeinstellungen verhalten. Wenn ein VIF auf eingestellt locking-mode ist default, bezieht sich die VIF auf den Netzwerksperrmodus (default-locking-mode), um zu bestimmen, ob und wie Pakete gefiltert werden sollen, die durch das VIF reisen:

  • Entsperrt. Wenn der Netzwerkparameter default-locking-mode auf unlocked festgelegt ist, lässt Citrix Hypervisor die VM Datenverkehr an eine beliebige IP-Adresse im Netzwerk senden, mit dem die VIF eine Verbindung herstellt.

  • Deaktiviert. Wenn der Parameter default-locking-mode auf disabled festgelegt ist, wendet Citrix Hypervisor eine Filterregel an, sodass die VIF den gesamten Datenverkehr löscht.

Standardmäßig sind default-locking-mode für alle Netzwerke, die in XenCenter erstellt und mit der Befehlszeilenschnittstelle erstellt wurden, auf unlocked eingestellt.

Wenn Sie den Sperrmodus des VIF auf den Standardmodus (network_default) einstellen, können Sie eine grundlegende Standardkonfiguration (auf Netzwerkebene) für alle neu erstellten VIFs erstellen, die eine Verbindung zu einem bestimmten Netzwerk herstellen.

Diese Abbildung zeigt, wie die VIF default-locking-mode für das Netzwerk verwendet, um sein Verhalten zu bestimmen, wenn locking-mode für die VIF auf die Standardeinstellung (network_default) eingestellt ist.

 Diese Abbildung zeigt, wie ein VIF, wenn es mit seiner Standardeinstellung (locking-mode=network_default) konfiguriert wird, die Einstellung überprüft, die mit dem Standardsperrmodus verknüpft ist. In dieser Abbildung ist das Netzwerk auf default-locking-mode=disabled gesetzt, so dass kein Datenverkehr durch die VIF passieren kann.

Beispielsweise werden VIFs standardmäßig mit der locking-mode Einstellung auf erstellt network_default. Wenn Sie ein Netzwerk default-locking-mode= setzendisabled, werden alle neuen VIFs, für die Sie den Sperrmodus nicht konfiguriert haben, deaktiviert. Die VIFs bleiben deaktiviert, bis Sie entweder (a) den Parameter locking-mode des einzelnen VIF ändern oder (b) die locking-mode der VIFs explizit auf entsperrt setzen. Dies ist hilfreich, wenn Sie einer bestimmten VM genug vertrauen, damit Sie den Datenverkehr überhaupt nicht filtern möchten.

So ändern Sie die Standardeinstellung für den Sperrmodus eines Netzwerks:

Ändern Sie nach dem Erstellen des Netzwerks den Standardsperrmodus, indem Sie den folgenden Befehl ausführen:

xe network-param-set uuid=network-uuid default-locking-mode=[unlocked|disabled]

Hinweis:

Um die UUID für ein Netzwerk zu erhalten, führen Sie den xe-Befehl network-list aus. Mit diesem Befehl werden die UUIDs für alle Netzwerke auf dem Host angezeigt, auf dem Sie den Befehl ausgeführt haben.

So überprüfen Sie die Standardeinstellung für den Sperrmodus eines Netzwerks:

Führen Sie einen der folgenden Befehle aus:

xe network-param-get uuid=network-uuid param-name=default-locking-mode

ODER

xe network-list uuid=network-uuid params=default-locking-mode

Netzwerkeinstellungen für die Filterung des VIF-Datenverkehrs verwenden

Im folgenden Verfahren wird eine VIF auf einer virtuellen Maschine angewiesen, die Citrix Hypervisor default-locking-mode Netzwerkeinstellungen im Netzwerk selbst zu verwenden, um zu bestimmen, wie der Datenverkehr gefiltert wird.

  1. Ändern Sie den VIF-Sperrstatus in network_default, wenn dieser Modus nicht bereits verwendet wird, indem Sie den folgenden Befehl ausführen:

    xe vif-param-set uuid=vif_uuid locking-mode=network_default
    
  2. Ändern Sie den Standardsperrmodus in unlocked, wenn dieser Modus nicht bereits verwendet wird, indem Sie den folgenden Befehl ausführen:

    xe network-param-set uuid=network-uuid default-locking-mode=unlocked