VMware vSphere 新手入门（三） 网络设置简介

10.网络策略概念（标准vSwitch）“在交换机或端口小组级别“：

弹性是什么意思？

这意味着如果您需要其他端口，它将动态地允许更多端口支持更多VM。

   - 默认情况下，第二层的最大传输单位为十五百，如果你使用巨型帧，你需要一个大的，你可以从这里调整。

我们看到，安全性有三种选择，其中第一种是

1.混杂模式：“默认为拒绝”

假设我们有三个VMS连接到同一个VM端口组到同一个vSwith。 现在每个人都有一个MAC地址作为第2层，它被分配为。 VMX文件，通常当VM1需要与VM3通信时，将单播帧发送到vSwitch，vSwitch将直接转发到该MAC地址所在的端口，在这种情况下，VM2将永远不会看到该单播帧和 原因是因为混杂模式默认设置为拒绝。

如果我们更改整个vSwitch的参数并且我们说接受混杂模式，则所有帧都将转发到所有VM，这意味着VM2可以看到VM1和VM2之间的所有帧。

那么，如果我们的网络中有入侵检测系统或协议分析仪或其他设备需要查看所有流量，那么最佳做法是什么？

                1.对于整个vSwitch拒绝混杂模式。

1.创建第二个端口组并将分析器设备连接到它，并且仅针对此第二个VM端口组接受混杂模式，因此分析器设备可以窃听所有流量。 这将覆盖vSwitch的默认行为。

2.伪造传输：“默认为接受”

允许VM发送具有与VMX文件中分配的MAC地址不同的MAC地址的帧。

如何更改VM的MAC地址？

3. MAC地址更改：“默认为接受”允许帧在新的Mac地址转到该VM。

流量整形：“默认为禁用”

流量整形策略由三个特征定义：平均值带宽，峰值带宽和突发大小。

默认情况下，连接到vSwitch的所有虚拟网络适配器都可以访问物理网络适配器上的全部带宽。 所以我们应该保留流量整形，以适应虚拟机竞争带宽的情况，并且因为我们在物理机箱上没有足够的扩展插槽，所以无法添加物理网络适配器。

使用标准交换机，ESXi主机可将来自VM的网络流量整形为vSwitch（入口流量）。 换句话说，ESXi会将从vSwitch到现实世界的出站流量进行整形。（上传）。

 

组队和故障转移

                     A.负载平衡它仅适用于出站流量。

      - 基于始发虚拟端口的路由。

使用将每个vSwitch端口（引脚）连接到与vSwitch关联的特定上行链路的算法。

该算法尝试将相同数量的端口维持到上行链路以实现负载平衡。

策略设置可确保来自连接到虚拟交换机端口的特定虚拟网络适配器的流量始终使用相同的物理网络适配器。

如果其中一个上行链路出现故障，来自故障上行链路的流量将故障转移到另一个物理网络适配器。

物理交换机将通过同一物理适配器发回回复。

       - 基于源MAC哈希的路由。

同样建议，根据源MAC地址将虚拟网络适配器绑定到物理网络适配器。

- 基于IP哈希的路由。

它也称为OUT_IP策略，使用源和目标IP地址来计算哈希值。

哈希确定要用于的物理网络适配器通讯。

基于散列，该算法可以允许单个VM在与不同目的地通信时通过不同的物理网络适配器进行通信。

掌握它：

基于IP哈希负载平衡策略的路由要求物理交换机也配置为支持这种安排。 这是通过链路聚合实现的，在Cisco环境中称为以太通道。 如果物理交换机上没有适当的链路聚合配置，则使用IP哈希负载平衡策略将导致连接丢失。 如果无法修改物理交换机的配置，则其他一种负载均衡策略（例如默认策略Route Based On Originating Virtual Port ID）可能更合适。

- 显式故障转移顺序

是不是真的没有做任何负载平衡。 而是使用列表中的第一个活动NIC。 如果那个失败，则使用列表中的下一个活动NIC，依此类推，直到您到达备用NIC。 请记住，如果选择“显式故障转移”选项并且您的vSwitch具有许多上行链路，则在任何给定时间只会有一个主动使用它们。 仅在需要或仅需要使用一个链接而不是对所有链接进行负载平衡的情况下，才使用此策略。

                      B.网络故障检测

NIC组合的网络故障检测可以配置为使用其中之一

      - 仅限链接状态

它就像名字所暗示的那样工作。 物理网络适配器的链路状态标识上行链路的故障。

在这种情况下，会发现以下事件的失败：

拆下电缆。

物理交换机出现电源故障。

链接状态设置的缺点是无法识别

将交换机连接到其他网络设备的配置错误或拔出电缆。 例如：将一个连接到上游交换机的电缆。

检测上游故障的另一种方法：

一些网络交换机制造商已在其交换机中添加了功能，以帮助检测上游网络故障。 在CISCO产品线中，有一项功能称为链路状态跟踪，使交换机能够检测上游端口何时发生故障并做出相应反应。 此功能可以减少甚至消除对Beacon Probing的需求。

- 灯塔探测

其中包括链路状态，在NIC组合中的所有物理网络适配器上发送以太网广播帧，这些广播帧允许vSwitch检测上游网络连接故障。

如果未在物理网络适配器上返回Beacon，则vSwitch会触发故障转移通知，并根据故障转移顺序策略通过另一个可用的网络适配器重新路由来自故障网络适配器的流量。

                     C.通知交换机

默认情况下，它设置为“是”，以允许立即进行物理切换

了解以下任何变化：

-  VM已启动（或客户端向vSwitch注册自身的任何其他时间）。

-  MAC地址已更改。

-  已发生NIC组故障转移或故障回复。

在任何这些事件中，使用反向地址解析协议（RARP）向物理交换机通知变化。

当端口组在单播模式下使用Microsoft网络负载平衡（NLB）时，应将Notify开关选项设置为NO。

VMware建议采取以下操作以最大限度地减少网络延迟：

- 在物理交换机上禁用PAGP和LACP。

      - 禁用DTP或中继协商。

      - 禁用STP。

带CISCO交换机的vSwitch：

VMware建议将CISCO设备配置为对端口快速模式使用端口快速模式，或为access端口使用trunk 端口。

D.倒退

控制ESXi主机在故障恢复时如何处理发生故障的网络适配器，默认设置为yes，表示适配器将在恢复后立即返回到当前状态，并且它将替换可能在其中取代的任何备用适配器。

E.故障转移订单

NIC组配置的最后一部分是故障转移顺序。 它由三种不同的适配器状态组成：

活动适配器：主动用于传递流量的适配器。

备用适配器：如果定义的活动适配器发生故障，这些适配器将仅变为活动状态。

未使用的适配器：即使所有活动和备用适配器都出现故障，vSwitch永远不会使用的适配器。

最后

我们查看了vSwith Level的所有这些属性，我们在端口组级别具有相同的确切选项。

对vSwitch应用安全策略默认情况下对vSwitch中的所有连接类型都有效，但是如果vSwitch上的端口组配置了竞争安全策略，则它将覆盖vSwitch上的策略集。

 

11.Distributed Switch Concepts：

虽然vSwitch是按ESXi主机进行管理的，但vSphere Distributed Switch作为单个虚拟交换机，可以跨数据中心对象中的所有关联ESXi主机。

VMware的vSphere分布式交换机的官方缩写是VDS。

实施DRS：

1.创建新的VDS。

2.将ESXi主机添加到VDS。

3.将物理网络适配器添加到Distributed Switch，分配它们

到VDS上的上行链路。

4.将虚拟标准交换机的虚拟机迁移到VDS。

 

12指定交换机选项和功能：

1. LACP

链路聚合控制协议，它是行业标准，使用LACP，我们可以采用两个或更多接口并将它们绑定在一起，形成一个逻辑端口管道。

如果您在CISCO环境中工作，其中交换机是物理CISCO交换机，则它们通常将此链路绑定称为以太网通道。

有两个独立接口的问题之一是，如果它们都在同一个VLAN中，生成树将从交换机角度出发，它将阻止两个端口中的一个，不必担心vSphere阻塞 因为它没有运行生成树。

LACP可在分布式交换机上使用，而不在标准交换机上。

2.网络流量

这是一个很棒的功能，我们可以用它来获取有关通过我们的网络传播的信息，例如最常用的协议或基于IP地址的顶级谈话者，并且可以收集更多这样的细节。

3.端口镜像

我们可以在网络的一个端口复制流量以发送到另一个端口。

在故障排除或分析过程中，我们可以通过端口镜像收集所需的数据，以便我们对其进行分析。 此外，该信息可能与IDS或IPS一起使用。

4.专用VLAN

私有VLAN的一个好处就是我们可以拥有一个IP子网，但同时我们可以在同一个IP子网上隔离这些设备的组。

专用VLAN可在分布式交换机上使用，而不在标准交换机上。

5. trunking

我们有一些标准交换机的中继。 如果我们将VM端口组指定为Vlan20的成员，则标准交换机会将通过中继线的帧标记为外部世界，其802.1Q为20。

但是，分布式交换机能够标记要配置为接受和理解802.1Q的VM的帧。

6.安全选项

与标准交换机上的内容类似，但分布式交换机上的默认值不同，默认值为所有三个交换机的默认值，并且分布式交换机上的所有安全策略都设置在端口组级别而非交换机级别。

7.流量整形

使用标准交换机，ESXi主机可将来自VM的网络流量整形为vSwitch（入口流量）。 换句话说，ESXi会将从vSwitch到现实世界的出站流量进行整形。（上传）。

分布式交换机可以做到这一点，并形成从分布式交换机到VM（出口流量）的网络流量。 换句话说，ESXi会对从现实世界到分布式交换机的入站流量进行整形。 （下载）。

8. CDP

在cisco环境中，CDP被认为是帮助学习直接连接的拓扑和网络设备的好方法。

交换机正在运行CDP发送每60秒一个小小的消息说：嘿！我在这，我的名字，这是我的管理IP等。

使用分布式交换机，我们可以打开此功能，以便我们可以发送消息或收听或两者兼而有之。

9. LLDP

其他一些供应商如juniper和HP很可能支持行业标准第二层发现协议，它称为LINK Layer Discovery协议。

因此，在分布式交换机上，它完全取决于我们在外部连接到什么物理设备。