虚拟网络可见性和控制

“Visibility and Control”(可见性和控制)部分允许您监视网络行为和配置网络策略。要访问各个页面,请选择 vSwitch Controller 界面顶部的 Visibility and Control(可见性和控制)图标。

查看状态

状态选项卡以表格形式提供有关在资源树中选择的节点的详细信息。显示的信息类型因选定节点而异。最独特的表格条目是链接。您可以单击这些链接以显示适用于该表格条目的状态页面。

即使 XenServer 主机重新启动或 VM 重新启动或迁移,所有字节计数和错误计数还是会继续累积。颜色代码遵循与侧面板中的颜色代码相同的规则。请参阅采用颜色编码的图标

全局级别

在全局级别,“状态”页面会显示一个表格,该表格列出了所有资源池和以下信息:

  • 资源池:资源池的名称。
  • 服务器数:池中的服务器数。
  • 网络数:池中的网络数。
  • VM 数:池中的 VM 数。
  • 状态:显示当前池状态的采用颜色编码的图标。

单击某行右侧的齿轮图标可提供用于修改资源池的各种选项。

在此页面上,您还可以为端口配置策略指定可用的目标 VLAN。请参阅设置端口配置策略

资源池级别

对于选定资源池,“状态”页面将显示以下信息:

  • 状态:显示当前池状态的采用颜色编码的图标。
  • 池主服务器:池中主服务器的 IP 地址或 DNS 名称。
  • 池范围的网络数:池中的网络数。
  • XenServer:池中的服务器数。
  • 所有 VM:池中的 VM 数。
  • 服务器列表:池中的服务器的列表,包括服务器名称、网络数、VM 数和状态。

除了显示状态信息以外,您还可以配置池中的 XenServer 主机转发 Netflow 数据的方式。根据需要选中以下复选框,然后单击 Save Netflow Configuration(保存 Netflow 配置):

  • vSwitch Controller(默认情况下处于选中状态):将 Netflow 信息转发到 vSwitch Controller 以供 GUI 的“Flow Statistics”(流统计信息)部分使用。如果取消选中此复选框,Netflow 数据将不会发送到 vSwitch Controller,并且“流统计信息”页面将不显示数据。
  • 外部 Netflow 控制器:允许您将 Netflow 数据转发到外部第三方 Netflow 收集器。输入外部收集器的 IP 地址。

防故障模式

使用故障模式部分配置 vSwitch 在无法连接到其 vSwitch Controller 时强制执行访问控制规则的方式。请务必保持较高级别的 vSwitch Controller 可用性,以避免数据丢失。在 vSwitch Controller 不可用的时间段内,以下故障模式适用:

  • 故障时打开:在 vSwitch 能够通过 vSwitch Controller 重新连接之前,允许所有流量,之前定义的 ACL 将不再适用。
  • 防故障:现有 ACL 继续适用。

在正常运行时,vSwitch 将保持与其已配置的 vSwitch Controller 的连接,以交换网络管理和状态信息。如果 vSwitch Controller 变得不可用,vSwitch 将在网络流量降低时最长等待到不活动超时。在不活动超时后,vSwitch 将进入已配置的故障模式。

在防故障模式下,现有 ACL 将在 vSwitch 失去与其已配置的 vSwitch Controller 的连接后继续适用。与现有 ACL 不匹配的流量将被拒绝。所有 ACL(在 Controller 提供的策略层次结构的任何级别)都将被强制作为 vSwitch 中 VIF 上的规则集。因此,在 Controller 不可用时于防故障模式下显示的新 VIF 将无法通信,直到 Controller 再次变得可用。拔出然后重新插入的现有 VIF 与新的 VIF 具有相同的行为。即使现有 VIF 上存在允许通信的更高级别的 ACL 策略规则(全局、按资源池、按网络或按 VM),也会出现这种情况。此外,vSwitch Controller 还可以基于其识别到的 IP 地址定义 ACL。在防故障模式下,VM 使用 Controller 在变得可用之前未将其与 VM 关联的 IP 地址发送的数据包将被拒绝。例如,在可以再次访问 Controller 之前,使用新 IP 地址的现有 VM 无法通信。在防故障模式下流量被拒绝的其他示例包括:

  • 新插入的 VIF
  • 新的 VM
  • 迁移的 VM(例如 XenMotion 或 Workload Balancing)
  • 主机上添加到池中的 VM
  • 充当路由器的应用程序

如果 vSwitch 在防故障模式下重新启动且 Controller 在 vSwitch 启动后仍然不可用,则所有 ACL 都将丢失且所有流量都将被拒绝。在重新建立与 Controller 的连接并且 Controller 将 ACL 向下推入 vSwitch 之前,vSwitch 将一直处于防故障模式。

警告:

在处于防故障模式时从 Switch Controller 管理删除资源池可能会导致 vSwitch 断开网络连接并出现强制进行紧急重置的情况。为防止出现这种情况,请仅在其状态为绿色时删除资源池。

您还可以在此页面上为端口配置策略指定可用的目标 VLAN。有关详细信息,请参阅设置端口配置策略

服务器级别

对于选定服务器,“状态”页面将显示以下信息:

  • 服务器状态:显示当前服务器状态的采用颜色编码的图标。
  • 服务器网络数:资源池中的网络数。
  • MAC 地址:服务器管理接口的 MAC 地址。
  • IP 地址:服务器管理接口的 IP 地址。
  • vSwitch 版本:在此 XenServer 上运行的 vSwitch 的 Build 和版本号。
  • 服务器网络:与服务器相关联的所有网络的列表。此信息包括:
    • 使用该网络的服务器上的 VM 数
    • 关联的物理接口、
    • VLAN
    • 传输和接收的字节数
    • 错误数
    • 状态
  • 服务器 VM:与服务器相关联的所有 VM 的列表。对于 VM 上的每个 VIF,此信息还包括:
    • MAC 地址
    • 网络
    • IP 地址
    • 自 VM 启动以来传输和接收的总字节数
    • 状态

在此页面上,您还可以为端口配置策略指定可用的目标 VLAN。请参阅设置端口配置策略

网络级别

池范围的网络的“状态”选项卡将列出有关资源池中每个网络的摘要信息。单个网络的“状态”选项卡将列出网络本身的相关信息。该选项卡包含有关当前连接到网络的物理接口和 VM 接口的信息的超链接表格。

可以使用以下颜色显示状态图标:

  • 如果网络处于活动状态且由 vSwitch Controller 正确托管,则为绿色
  • 如果网络没有连接的接口,则为红色
  • 如果出现错误状况,则为橙色。相关联的文本将描述相应错误。

对于池范围的网络,将显示以下信息:

  • 网络名称:特定网络。
  • VM 数:与网络相关联的 VM 数。
  • XenServer:与网络对应的服务器。
  • 物理接口:网络的服务器接口。
  • 传输 (Tx) 和接收 (Rx) 数据包数:指定网络上所有 VIF 的计数器之和。
  • 错误数:指定网络上所有 VIF 的计数器之和。
  • 状态:显示当前网络的采用颜色编码的图标。

对于选定网络,将显示以下信息:

  • 网络状态:显示当前网络的采用颜色编码的图标。
  • VM 数:与网络相关联的 VM 数。
  • 物理接口:物理接口的列表,包括 VLAN、传输和接收的字节数、错误数和状态。
  • 切换 XenServer(仅在跨服务器专用网络上存在):为网络指定当前处于活动状态的交换主机。 跨服务器专用网络允许同一资源池中的 VM 进行通信,而无需对物理网络进行任何额外配置。VM 可以在不同的主机上运行。通过让“切换主机”建立与池中的其他每个主机的 GRE 通道,可以实现此功能。GRE 通道将以星形拓扑的形式设置。其他主机具有在专用网络中运行的活动 VM。 如果交换主机变得不可用或被删除,系统将自动选中新的交换主机并配置新的 GRE 通道。有关跨服务器专用网络的详细信息,请参阅网络连接
  • VM 接口:VM 的列表,包括 MAC 地址、IP 地址、传输和接收的字节数,以及状态。

在此页面上,您还可以为端口配置策略指定可用的目标 VLAN。有关详细信息,请参阅设置端口配置策略

虚拟机 (VM) 级别

将为所有 VM 显示以下信息:

  • VM 名称:特定 VM 的名称。
  • MAC 地址:分配给 VM 的 MAC 地址。
  • 网络名称:向其分配 VM 的网络。
  • 检测到的 IP 地址:分配给 VM 的 IP 地址。
  • 传输 (Tx) 和接收 (Rx) 数据包数:指定 VM 上所有 VIF 的计数器之和。
  • 错误数:指定 VM 上所有 VIF 的计数器之和。

对于选定 VM,“状态”页面将显示以下信息:

  • 状态:显示当前 VM 状态的采用颜色编码的图标。
  • 资源池:VM 所属的资源池。
  • 服务器名称:向其分配 VM 的服务器的名称。如果 VM 未在运行且未绑定到特定服务器,则此信息为空。
  • VM 组成员身份:向其分配 VM 的管理组的列表。
  • VM 接口:VM 上 VIF 的列表。此信息包括:
    • MAC 地址
    • 网络名称
    • 检测到的 IP 地址
    • 传输和接收的字节数、数据包数和错误计数
    • 状态
  • 网络事件:涉及 VM 的网络事件的列表,包括优先级、日期/时间和说明。

虚拟接口 (VIF) 级别

对于选定 VIF,“状态”页面将显示以下信息:

  • 状态:显示当前 VIF 状态的采用颜色编码的图标。
  • 资源池:VIF 所属的资源池。
  • 网络:VIF 所属的网络。
  • VM 名称:VIF 所属的 VM。
  • MAC 地址:VIF 的 MAC 地址。
  • IP 地址:VIF 的 IP 地址。
  • 传输和接收的字节数、数据包数和错误数:VIF 的流量计数。
  • 交换机端口 ACL 统计信息:与传输和接收计数不同,ACL 命中计数是从当前 vSwitch 的 ACL 规则统计信息读取的即时统计信息。因此,策略变更和暂停、关闭或迁移等 VM 操作会导致这些统计信息被重置。 vSwitch ACL 统计信息需要能够在网络中被识别的 IP 地址,并且能够收集基于 IP 的协议的统计信息。如果您发现没有针对基于 IP 的规则的计数,请验证 IP 地址是否将显示在“IP 地址”字段中。

查看流统计信息

默认情况下,每个托管 XenServer 上的 vSwitch 会将 Netflow 流发送给使用此数据生成流统计信息表格和图表的 vSwitch Controller。在处于不活动状态 5 秒或总活动时间为 60 秒后,vSwitch 会为所有 IPv4 流生成 Netflow 记录。

流的数据速率将表示为流的总流量在流持续时间内的平均值。例如,如果某个流持续 10 秒,并且第 1 秒发送了 900 KB,剩余 9 秒中每秒均发送 10 KB,则产生的数据将被绘制为仿佛整个流期间的速率为 100 KB/秒。

Netflow 将使用 UDP 数据报在交换机和收集器之间传输 NetFlow 记录(例如,vSwitch Controller)。由于 NetFlow 使用 UDP 数据报,因此收集器通常无法知道未收到 NetFlow 记录的原因。丢弃的记录可能会导致“Flow Statistics”(流统计信息)表格或图表具有不确定性。例如,假定每秒生成 10 个流的网络中有一个持续 10 秒的 1 GB 文件传输。该网络将总计生成 202 个流(100 个 hping stimuli、100 个 hping 响应、1 个文件传输 stimulus 和 1 个文件传输响应)。如果 50%的 UDP 数据报被丢弃,则收集器报告 1 GB 数据或 2 KB 的可能性均为 50%。

由于池中的每个 vSwitch 均会生成 Netflow 记录,因此不同 XenServer 主机上运行的源和目标会导致出现两个记录,从而使统计信息计数翻倍。

在部署的 100 多个 VM 中禁用流可见性,以避免过度加载 vSwitch Controller 虚拟设备和用于发送 NetFlow 记录的网络。

Flow Statistics(流统计信息)选项卡将显示图表和关联的表格以显示所选节点的流。

提供以下部分中所述的选项的列表的屏幕截图。

使用页面顶部的列表指定以下内容:

  • 方向:双向、传入、传出
  • 单位:字节、位、数据包、流
  • 以下分组之一的顶部或底部项目(最高或最低值):
    • VM:位于资源池中作为流量的源/目标的 VM
    • IP 地址:作为流量的源或目标的 IP 地址
    • 协议:ICMP、TCP 和 UDP 等 IP 协议流量

      注意:

      由于用于生成结果的 Netflow 协议存在限制,因此将不显示以太网层协议 (如 ARP)。

    • Application(应用程序):应用程序级别的协议流量,由 TCP/UDP 端口或 ICMP 类型/代码识别
  • Traffic (by type)(流量(按类型)):VM、IP 地址、协议、应用程序(由协议类型和端口号显示,此信息允许您推断使用的服务)
  • 时间间隔。

图下方的表格显示以下部分或全部信息,具体取决于在列表中选择的项目的类型:

  • VM
  • IP
  • 传入的字节数
  • 传入的数据速率 (KB/秒)
  • 传出的字节数
  • 传出的数据速率 (KB/秒)
  • 总字节数
  • 总数据速率 (bps)

如果 NetFlow 未被转发到 vSwitch Controller,则“Flow Statistics”(流统计信息)选项卡下将显示警告蓝色状态文本:One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

要重新配置转发,请单击蓝色状态文本以查看资源池列表。从列表中选择所需的资源池以导航到池状态页面。在状态页面中,您可以配置 NetFlow 数据转发。

管理地址组

您可以设置地址组以指定要用作 ACL 的源或目标的 IP 地址,以用于报告流统计信息。

要添加地址组,请执行以下操作:

  1. Visibility & Control(可见性和控制)下,在资源树(侧面板)中选择 Address Groups(地址组)以打开所有地址组的“状态”页面。
  2. 单击创建组
  3. 输入用于识别组的名称,以及可选说明。
  4. 单击创建组。新组将被添加到地址组列表中。
  5. 在资源树中选择新的组以打开其状态页面。
  6. 单击 Add Members(添加成员)按钮。
  7. 在弹出窗口中,指定一个或多个 IP 地址或子网(以逗号分隔)。示例:192.168.12.5、192.168.1.0/24
  8. 单击添加。可以根据需要继续添加更多网络。每组地址将作为节点添加到“地址组”列表中的网络下。

新的地址组现在对 ACL 策略和流程统计信息可用。

可以通过单击现有地址组的“所有地址组”行中的“删除”链接来删除该地址组。

您也可以更新地址组的名称或说明:

  1. 在资源树中选择新的组以打开其状态页面。
  2. 单击 Modify Group(修改组)按钮。
  3. 在打开的对话框中,更改名称和说明。
  4. 单击 Modify Group(修改组)按钮以保存所做的更改。

管理虚拟机组

VM 组是一组 VM,您可以将其识别为用于查看状态和流统计信息的组。VM 组中的每个 VM 必须已位于资源池中。否则,组将与资源池和服务器无关。

要添加 VM 组,请执行以下操作:

  1. Visibility & Control(可见性和控制)下,在资源树(侧面板)中选择 VM Groups(VM 组)以打开所有地址组的“状态”页面。
  2. 单击“创建组”按钮。
  3. 输入用于识别组的名称,以及可选说明。
  4. 单击创建组。新组将被添加到 VM 组列表中。
  5. 在资源树中选择新的组以打开其状态页面。
  6. 单击 Add Member(添加成员)。
  7. 在弹出窗口中,从列表中选择该 VM。
  8. 单击添加。可以根据需要继续添加更多 VM。每个 VM 将作为子节点添加到“VM Groups”(VM 组)列表中的组下。

以下右键单击选项对每个 VM 组可用:

  • Add VM to group(将 VM 添加到组中):添加新的组成员。
  • Modify Name/Description(修改名称/说明):更改名称或说明。
  • 删除组:删除组。

DVS 策略配置层次结构

使用 Visibility & Control(可见性和控制)中的“访问控制”和“端口配置”选项卡可配置访问控制、QoS,以及虚拟网络环境中的流量镜像策略。虽然所有策略均在 VIF 级别应用,但是 vSwitch Controller 会显示支持在 VIF 集合中声明默认策略的分层策略模型。vSwitch Controller 还提供了一种覆盖此默认策略的方法,即在需要时创建详细的例外。例如,您可以从默认资源池策略中排除特定 VM。

与资源树中使用的层次结构类似,策略层次结构具有以下级别:

  • 全局(最常规级别):包括所有资源池中的所有 VIF。
  • 资源池:特定资源池中的所有 VIF。
  • 网络:连接到特定网络的所有 VIF。
  • VM:连接到特定 VM 的所有 VIF
  • VIF(最具体级别):单个 VIF。

注意:

XenServer 主机不包含在策略层次结构中,因为无论资源池中的 XenServer 是否在运行 VM,都必须应用策略。

设置访问控制策略

选择访问控制选项卡以设置允许或拒绝基于数据包属性的 VM 流量的策略。

ACL 策略包含一组规则,每个规则均包括以下部分:

  • 操作:指示是否允许(允许)或丢弃(拒绝)与规则匹配的流量。
  • 协议:要将规则应用到的网络协议。您可以将规则应用到所有协议(任何),从现有协议列表中进行选择或指定新的协议。
  • 方向:要将规则应用到的流量的方向。从左到右读取规则文本:“到”表示从 VM 传出的流量,“从”表示传入到 VM 的流量。
  • 远程地址:表示是否将规则限制为在一组特定的远程 IP 地址中传入/传出流量。

ACL 策略的管理严格遵循资源树层次结构。您可以在任何受支持的层次结构级别指定策略。在每个级别,规则将按如下进行组织:

  • 强制性规则:这些规则将在任何子策略规则之前进行评估。优先于它们的唯一规则是父(较笼统)策略的强制性规则。强制性规则用于指定子(更具体)策略无法覆盖的规则。
  • 子规则:子策略占位符将按规则顺序指示位置,子策略中的规则按该顺序进行评估。它可以将强制性规则与默认规则分开。
  • 默认规则:这些规则是最后进行评估的,即在评估完所有强制性规则和所有子策略默认规则之后进行。它们仅优先于父策略的默认规则。它们用于指定仅在更具体的子策略未指定冲突行为时才应用的行为。

VIF 的**访问控制**选项卡。

全局访问控制列表 (ACL) 规则

要设置全局 ACL 规则,请单击资源树中的所有资源池。该页面将列出在全局级别定义的所有 ACL 规则。

资源池访问控制列表 (ACL) 规则

要设置资源池的 ACL 规则,请选择资源树中的资源池。

该页面将显示全局策略的可展开栏和资源池规则的可展开区域。如果单击全部展开按钮,您可以查看在全局策略框架中嵌入资源池规则的方式。

网络访问控制列表 (ACL) 规则

要在网络级别设置 ACL 规则,请单击资源树中的网络。

页面将显示以下信息:

  • 全局规则的可展开栏
  • 网络所属的资源池的可展开栏
  • 网络规则的可展开区域

如果单击全部展开,您可以查看在资源策略框架和全局策略框架中嵌入网络策略的方式。

VM 访问控制列表 (ACL) 规则

要在 VM 级别设置策略,请单击资源树中的 VM。

页面将显示以下信息:

  • 全局规则的可展开栏
  • 资源池和 VM 所属的网络的可展开栏
  • VM 规则的可展开区域

如果单击全部展开按钮,您可以查看在网络、资源池和全局框架中嵌入 VM 规则的方式。

如果 VM 包含多个网络中的 VIF,“Change Network”(更改网络)链接将显示在网络的示例栏右侧。此链接允许您查看可能应用于该 VM 上的 VIF 的每个网络级别策略的规则。

VIF 访问控制列表 (ACL) 规则

要在 VIF 级别设置策略,请单击资源树中的 VIF。由于策略仅在 VIF 级别进行打包和应用,因此您必须显示 VIF 页面才能看到完整的策略上下文。

页面将显示以下信息:

  • 全局规则的可展开栏
  • 资源池、网络和 VIF 所属的 VM 的可展开栏
  • VIF 规则的可展开区域

如果单击全部展开按钮,您可以查看在 VM、网络、资源池和全局框架中嵌入 VIF 规则的方式。

访问控制列表 (ACL) 规则实施顺序

虽然可以在策略配置层次结构的不同级别定义 ACL,但是 ACL 是根据 VIF 实施的。对于实际实施,层次结构将按照此部分中所述的顺序进行组合并应用于每个 VIF。要查看当前对 VIF 和关联统计信息应用的规则,请选择资源树中的 VIF。在“状态”选项卡中查看 ACL 列表。

实施顺序如下所示:

  1. 全局级别的强制性规则
  2. 包含 VIF 的资源池的强制性规则
  3. 包含 VIF 的网络的强制性规则
  4. 包含 VIF 的 VM 的强制性规则
  5. 包含 VIF 的 VIF 的规则
  6. 包含 VIF 的 VM 的默认规则
  7. 包含 VIF 的网络的默认规则
  8. 包含 VIF 的资源池的默认规则
  9. 包含 VIF 的全局默认规则

将执行匹配的第一个规则,并且不评估其他规则。

注意:

当 vSwitch Controller 不可用时,资源池会根据配置的故障模式实施访问控制规则。请参阅“查看状态”下称为“资源池级别”的部分,以了解有关资源池的故障模式的更多详细信息。

定义访问控制列表 (ACL) 规则

要定义新的 ACL 规则,请使用资源树在策略配置层次结构中选择位于相应级别的节点。您可以在每个级别为该级别和更高级别添加规则。例如,如果您选择资源池,您可以为该资源池添加规则和全局规则。

如果您选择的资源树节点与策略配置层次结构中的某个级别不对应,将显示一条消息。该消息提供了用于选择另一个级别的链接。

可以通过以下方式添加新规则:

  • 要添加强制性规则,请单击相应级别的标题栏中的齿轮图标,然后选择 Add New Mandatory ACL(添加新的强制性 ACL)。
  • 要添加默认规则,请单击相应级别的标题栏中的齿轮图标,然后选择** Add New Default ACL**(添加新的默认 ACL)。
  • 要添加现有规则条目上面的某个规则,请单击该条目的齿轮图标,并选择 Add New ACL Above(添加上方的新 ACL)。
  • 要添加现有规则条目下面的某个规则,请单击该条目的齿轮图标,并选择 Add New ACL Below(添加下方的新 ACL)。

新规则将被添加到具有以下默认设置的页面:

  • 操作:允许
  • 协议:任何
  • 方向:到/从
  • 远程地址:任何
  • Description(说明):无

要更改规则中的特定字段,请单击表示当前字段值的链接,并应用如以下列表中所述的更改。应用更改时,规则将更新以显示值。

  • 操作:单击链接并选择 Change Action to Deny(将操作更改为拒绝)或 Change Action to Allow(将操作更改为允许)。
  • 协议:单击并选择以下选项之一:
    • 选择 Match Any Protocol(匹配任何协议)以将规则应用到所有协议。
    • 选择 Use an Existing Protocol(使用现有协议)以指定某个协议。从列表中选择该协议,然后单击 Use Protocol(使用协议)。
    • 选择 Use a New Protocol(使用新协议)以指定自定义协议特性。在弹出窗口中指定以下信息,然后单击 Save & Use(保存并使用):
      • Ether type(以太网类型):选择 IP 或输入其他以太网类型。
      • IP Protocol(IP 协议):选择其中一个列出的协议,或输入另一个协议。
      • Destination Port (TCP/UDP only)(目标端口(仅限 TCP/UDP)):输入端口号或指定任何
      • Source Port (TCP/UDP only)(源端口(仅限 TCP/UDP)):输入端口号或指定任何。在定义使用已知的服务器端口的应用程序时,将该已知端口定义为目标端口并将源端口保留为任何。例如,可以对 HTTP 使用此方法,即使用端口 80。
      • ICMP Type (ICMP only)(ICMP 类型(仅限 ICMP)):选择 Any(任何)或输入特定 ICMP 类型的协议 (ICMP)。
      • ICMP Code (ICMP only)(ICMP 代码(仅限 ICMP)):选择 Any(任何)或输入特定的 ICMP 代码。
      • Match reply traffic(匹配回复流量):指示是否自动允许将返回流量作为规则的一部分。例如,如果该规则允许 UDP 目标端口 7777 流量从 VM 传输到指定的远程地址,并且选中“Match reply traffic”(匹配回复流量),则还允许 UDP 流量远程地址的源端口 7777 传输至 VM。为需要双向通信的任何 UDP 协议启用此选项(始终为 TCP 启用此选项)。
      • One-time Use vs. Multiple Uses(一次性使用和多次使用):选择是否仅针对当前规则使用此协议,还是将其添加到协议菜单中的协议列表中。
    • 选择 View/Modify Current Protocol(查看/修改当前协议)以修改已定义协议的特性。
  • 方向:选择规则是应用还是应用指定的远程地址,或者通过这两种方式应用。
  • 远程地址:要指定远程地址,请执行以下操作:
    1. 单击任何链接以打开弹出窗口,其中列出了可用的地址组。
    2. 选择一个或多个地址组并使用箭头将其移动到已选中列中。
    3. 使用所有按钮选中或取消选中所有组。
    4. 要指定不属于现有地址组的 IP 地址或子网,请输入地址或子网 (x.x.x.x or x.x.x.x/n)。单击添加。请重复此操作以添加更多地址。
    5. 单击完成
  • 说明:要添加规则的文本说明,请执行以下操作:
    1. 单击说明按钮。
    2. 单击相应的条目 (<> 如果当前没有说明)。此时将显示文本输入区域。输入文本并按 Enter 键。
  • 规则详细信息:单击规则详细信息按钮以显示该规则的简短摘要。

单击 Save Policy Changes(保存策略更改)以应用新规则。执行此操作后,所做的更改将立即在虚拟网络环境中生效。如果尚未保存这些规则,您可以单击撤消更改以撤消您进行的更改。

当您更改某个 ACL 时,vSwitch Controller GUI 的所有后台更新都将暂停。如果另一个管理员同时修改该策略并先于您提交更改,请刷新页面以从服务器检索新策略。重新输入您所做的更改。

通过单击规则的齿轮图标并选择上移下移,您可以更改级别中各个规则的顺序。不能在层次结构中的各级别之间移动规则。要删除某个规则,请单击齿轮图标并选择删除。单击说明按钮以显示 ACL 说明。或单击规则按钮以显示您构建的 ACL 规则。

ACL 规则将始终从 VM 的虚拟接口角度进行解释,即使在策略层次结构中配置了更高级别时也是如此。考虑规则中“Remote Addresses”(远程地址)字段的意义时,此行为很重要。

例如,如果池中的某个 VM 具有 IP 地址 10.1.1.1,您可能希望池中具有用于指定“拒绝连接到 IP 10.1.1.1 的所有协议”的规则,以防止任何流量访问该 VM。对于资源池中的所有其他 VM,都会出现此行为,因为每个 VM 都会在 VM 传输时实施该规则。但是,资源池外部的资源池也可以与 IP 地址为 10.1.1.1 的 VM 进行通信。出现此行为的原因是,没有用于控制外部计算机的传输行为的规则。另一个原因是,IP 地址为 10.1.1.1 的 VM 的 VIF 具有一个可丢弃拥有该地址的传输流量的规则。但是,该规则不会丢弃具有该地址的接收流量

如果意外出现此策略行为,请查看虚拟界面的“状态”选项卡,通过该界面可以查看所有策略级别的整个规则集。

设置端口配置策略

使用端口配置选项卡配置应用于 VIF 端口的策略。支持以下策略类型:

  • QoS:质量服务 (QoS) 策略控制连接到 DVS 端口的 VM 的最大传输速率。
  • Traffic Mirroring(流量镜像):远程交换端口分析器 (RSPAN) 策略支持在 VIF 上接收或发送到 VLAN 的监视流量以支持流量监视应用程序。
  • Disable MAC address spoof check(禁用 MAC 地址欺骗检查):MAC 地址欺骗检查策略控制是否对从 VIF 传出的流量执行 MAC 地址实施。如果 vSwitch Controller 从某个 VIF 检测到一个具有未知 MAC 地址的数据包,则会丢弃来自该 VIF 的数据包和所有后续流量。MAC 地址欺骗检查策略默认情况处于开启状态。在于 Microsoft Windows 服务器上运行 Network Load Balancing 等软件的 VIF 上禁用这些策略。

警告:

在未正确配置物理和虚拟网络的情况下启用 RSPAN 可能会导致出现严重的网络中断问题。请在启用此功能之前仔细阅读配置 RSPAN 中的说明。

您可以在全局、资源池、网络、VM 和 VIF 级别配置 QoS 和“Traffic Mirroring”(流量镜像)端口策略。当您选择资源树中的某个节点并选择端口配置选项卡时,它会显示层次结构中每个父级别的配置。但是,只能更改选定策略级别的唯一。例如,如果您选择 VM,端口配置选项卡将显示在全局、资源池和网络级别配置的值。该选项卡允许您更改 VM 级别的值。

给定级别的 QoS 和“Traffic Mirroring”(流量镜像)配置会覆盖在更高级别的配置。如果配置被覆盖,则端口配置选项卡将显示更高级别的配置已被删除。例如,下图显示了网络级别的 QoS 配置,该配置将覆盖资源池级别的配置。

**端口配置**选项卡的屏幕快照。

要配置端口策略,请选择资源树中的节点并选择端口配置选项卡。如果您选择不支持端口配置策略的节点,则将显示一条消息,其中包含指向支持端口配置的节点的链接。

配置 QoS

有关 QoS 策略,请从以下选项中进行选择:

  • Inherit QoS policy from parent (default)(从父节点继承 QoS 策略(默认)):从更高(即更笼统)的层次结构级别应用策略。此选项在全局级别不存在。
  • Disable inherited QoS policy(禁用继承的 QoS 策略):忽略在更高(即更笼统)的级别设置的任何策略,在该级别,此策略级别中包含的所有 VIF 都将未配置 QoS。
  • Apply a QoS limit(应用 QoS 限制):选择速率限制(带单位)和脉冲大小(带单位)。发送到此策略级别中包含的所有 VIF 的流量被限制为指定速率,并将各个脉冲限制为指定的数据包数。

警告:

相对于速率限制设置过小的脉冲大小可能会阻止 VIF 发送足够多的流量才能到达速率限制。对于执行 TCP 等拥塞控制的协议,很可能会发生此行为。

至少,脉冲速率必须大于本地网络的最大传输单位 (MTU)。

针对 vSwitch Controller 所在的任何接口将 QoS 设置为不合适的低脉冲速率可能会导致断开与 vSwitch Controller 的所有通信。此通信会错失“强制紧急重置”的情况。

要阻止发生任何继承的实施,请在 VM 级别禁用 QoS 策略。

单击 Save Port Configuration Changes(保存端口配置更改)以实施更改,或单击撤消更改以删除任何未保存的更改。此策略将在保存后立即生效。

配置 RSPAN

警告:

当服务器连接到无法识别 VLAN 的交换机或未正确配置为支持 RSPAN VLAN 时 ,配置 RSPAN 可能会导致流量复制和网络中断。请在启用 RSPAN 功能之前,先检查物理交换机的文档和配置。在必须涉及多个物理交换机的更高层次结构级别进行此检查特别重要。

启用 RSPAN 需要执行一系列步骤,如下所述:

标识 RSPAN VLAN

在 VIF 上启用 RSPAN 时,该 VIF 的 vSwitch 会生成发送到该 VIF 或从该 VIF 发送的每个数据包的副本。vSwitch 将传输使用 VLAN 值(称为目标 VLAN)标记的该数据包的副本。然后管理员会将执行监视的主机放在配置为使用该目标 VLAN 的交换机端口上。如果监视主机接口使用混杂模式,它可以查看发送到配置为使用 RSPAN 的 VIF 或从该 VIF 发送的所有流量。

使用目标 VLAN 配置物理网络

正确配置物理网络以识别 RSPAN 流量至关重要,可避免出现网络中断。如果连接所有启用了 RSPAN 的 VIF 的物理交换基础结构可以配置为禁用识别目标 VLAN,则仅启用 RSPAN。有关详细信息,请参阅交换机制造商提供的文档。

此外,还必须将在目标 VLAN 上发送的流量从每个 vSwitch 转发至监视主机。如果物理基础结构在某个层次结构中包含多个交换机,则此转发要求在不同的交换机之间中继目标 VLAN。有关详细信息,请参阅交换机制造商提供的文档。

使用目标 VLAN 配置 vSwitch Controller

在使用该 VLAN ID 配置 RSPAN 端口之前,请告知 vSwitch Controller 有关每个目标 VLAN 的信息。您可以在资源池、网络或服务器级别指定可用的目标 VLAN ID。在层次结构级别和更低的层次结构级别配置 RSPAN 端口配置时,在该级别添加的目标 VLAN 将可用。用于指定目标 VLAN 的正确级别取决于配置物理基础结构以识别该目标 VLAN 的广泛性。

要指定可用的目标 VLAN,请执行以下操作:

  1. Visibility & Control(可见性和控制)中,打开所有资源池、特定资源池、特定服务器或特定网络的状态选项卡。
  2. RSPAN Target VLAN ID(RSPAN 目标 VLAN ID)区域中,单击 + 并输入 VLAN ID。
  3. 重复此操作以添加更多 VLAN ID。
  4. 单击 Save Target VLAN Change(保存目标 VLAN 更改)。

现在可以在“端口配置”选项卡上选择 VLAN,如此部分中所述。

修改端口配置以为一组 VIF 启用 RSPAN

要在端口配置选项卡中配置 RSPAN 策略,请在资源树中选择相应的节点并从以下选项中进行选择:

  • Inherit RSPAN policy from parent (default)(从父节点继承 RSPAN 策略(默认)):从下一个更高(即更笼统)的层次结构级别应用策略。
  • Disable inherited RSPAN policy(禁用继承的 RSPAN 策略):忽略在更高(即更笼统)的级别设置的任何策略,在该级别,此策略级别中包含的所有 VIF都将未配置 RSPAN。
  • RSPAN traffic on VLAN(VLAN 上的 RSPAN 流量):从目标 VLAN 的列表中选择一个 VLAN。显示在该列表中的唯一目标 VLAN 是为包含当前选择的节点的策略级别配置的 VLAN。

配置 MAC 地址欺骗检查

要禁用 MAC 地址实施,请选择 MAC address spoof checking(MAC 地址欺骗检查)。实施只能根据每个 VIF 进行配置,并且不会继承或覆盖父配置。

保存更改

单击“Save Port Configuration Changes”(保存端口配置更改)以实施更改,或单击撤消更改以删除任何未保存的更改。此策略将在保存后立即生效。

Version

虚拟网络可见性和控制