[ARTICULO] Hyper-V | Que es el Extensible Switch en Windows Server 2012
El Switch Virtual de Hyper-V en Windows Server 2012 tiene nuevas capacidades para lograr aislamiento, limitación de tráfico, protección contra acciones maliciosas y más fácil resolución de problemas.
Estas capacidades son conocidas como extensiones (“Hyper-V Extensible Switch”) y son introducidas en Windows Server 2012 de forma nativa a través el rol de Hyper-V. Las mismas dan soporte para que soluciones que no son de Microsoft puedan integrar y extender sus funcionalidades en las redes virtuales de Hyper-V.
En este artículo veremos estas características y que provechos podemos sacarles.
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo:
- Conocer qué es el Virtual Switch de Hyper-V versión 3, en alto nivel.
- Conocer sus características y funcionalidades, en alto nivel.
Alcance
El alcance de esta publicación es explicar en alto nivel las nuevas capacidades de Virtual Switch en Hyper-V versión 3 de Windows Server 2012.
Desarrollo del Artículo
Introducción al Virtual Switch en Hyper-V 3
El Virtual Switch de Hyper-V 3 es una red virtual de capa 2 que proporciona nuevas capacidades de programación administrada y extensible para conectar máquinas virtuales a la red física. En simples palabras, estas extensiones nos permiten la implementación de políticas de seguridad, aislamiento (posibilidades multi-tenant) y niveles de servicio mayores, no solo a través de soluciones Microsoft sino de cualquier proveedor o fabricante que las desarrolle.
Una extensión en un Switch de Hyper-V 3 es un filtro basado en NDIS (Network Driver Interface Specification) o en WFP (Windows Filtering Platform):
- NDIS: es un API para tarjetas de red que permite la instalación de extensiones personalizadas dentro del driver del switch virtual en Hyper-V.
- WFP: es una arquitectura introducida en Windows Server 2008 que permite filtrar y modificar paquetes TCP/IP, como así también monitorear o autorizar conexiones varias, como otras funciones avanzadas.
Existen 3 clases de extensiones: de captura, filtro y reenvío. Todas ellas pueden ser implementadas como drivers NDIS. Las extensiones de filtro pueden también ser implementadas como drivers WFP.
Configuración del Virtual Switch
Por cada Virtual Switch en Hyper-V 3 podemos seleccionar las extensiones a implementar: en la figura se visualizan las extensiones NDIS y WFP:
Una vez instaladas en el host, pueden ser habilitadas o deshabilitadas como así también seleccionar su orden de acción.
Capacidades del Hyper-V Extensible Switch
En este artículo no vamos a analizar funciones implementadas por extensiones de otros fabricantes, sino que vamos a ver que provecho podemos sacarle a las extensiones y nuevas funcionalidades que vienen incorporadas en Hyper-V 3.
Enhanced diagnostics
Microsoft ha extendido el “Unified Tracing” como extensión del Switch Hyper-V. Recordemos que con Unified Tracing un administrador puede identificar y resolver problemas de conectividad de red a través de la colección de logs de eventos y captura de paquetes, cruzando todas las capas de la pila de red.
Ahora es posible facilitar el troubleshooting de un switch virtual con esta funcionalidad. Es importante identificar que cuando el filtro de captura se habilita para un switch virtual, solo el tráfico que pasar por el Switch Virtual es capturado, y no otro que pueda estar pasando por la placa de red física.
DHCP Guard
DHCP Guard facilita el bloqueo de paquetes de servidor DHCP para evitar ser enviados desde el host en forma predeterminada. En cierta manera, es una funcionalidad extendida del Virtual Switch para protegerse de máquinas virtuales no autorizadas a ser DHCP Servers.
Router Guard
Router Guard facilita el bloqueo de paquetes de enrutamiento desde máquinas virtuales no autorizadas que fingen ser routers.
MAC Address Spoofing
MAC Address Spoofing ayuda a protegerse contra los intentos de utilizar spoofing ARP para robar direcciones IP de máquinas virtuales al permitir que éstas cambien la dirección MAC de origen en paquetes salientes a una dirección que no se les asigna. Si se selecciona esta opción, la placa virtual está habilitada para hacer spoofing de MAC Address.
Port mirroring
Habilita la posibilidad de monitorear el tráfico de una máquina virtual a través del reenvío de paquetes de destino u origen hacia otra máquina vritual que tenga intensiones de monitoreo.
Port ACLs
Ayuda a aislar una red virtual a través del filtro de tráfico basado en MAC (media access control) o rangos de direcciones IP.
Isolated VLANs
Una gran funcionalidad para permitir las características multi-tenant en Hyper-V 3 a través de la implementación de PVLANs. Básicamente, las PVLANs son una extensión de las VLANs estándar. Las PVLANs dividen las VLANs en múltiples dominios broadcast, garantizando aislamiento para cada dominio broadcast.
En efecto, las PVLANs permiten crear VLANs dentro de una VLAN, características más que importante en una infraestructura multi-empresa.
Trunk mode
Característica ya presente en versiones anteriores de Hyper-V, permite direccionar tráfico de una VLAN específica a una máquina virtual.
Bandwidth management
Permite garantizar un ancho de banda mínimo y/o máximo para cada máquina virtual.
Conclusiones
Estamos trabajando para finalizar la conclusión.
Referencias y Links
- Hyper-V Extensible Switch: http://msdn.microsoft.com/en-us/library/windows/hardware/hh598161(v=vs.85).aspx
- Hyper-V Virtual Switch Overview: http://technet.microsoft.com/es-es/library/hh831452.aspx
- Hyper-V Extensible Switch, Part I – Introduction: http://channel9.msdn.com/posts/Hyper-V-Extensible-Switch-Part-I–Introduction
- Hyper-V Extensible Switch, Part II – Understanding the Control Path: http://channel9.msdn.com/posts/Hyper-V-Extensible-Switch-Part-II–Understanding-the-Control-Path
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Acerca del Autor
Professor. Techie. Ice cream fan (dulce de leche). My favorite phrase: "Todos los días pueden no ser buenos ... pero hay algo bueno en todos los días". Currently I´m Service Manager at Algeiba Dev (http://www.algeiba.com), providing services with the vision of create the best technology solutions to transform organizations around the world. I´m also Chief Communications Officer in vOpen (https://vopen.tech), an initiative that connect students, professionals and technology experts around the world to share knowledge, experiences and promote technological innovation. I enjoy a lot of educational, technological talks and a good beer. If you want to talk, write me to pablodiloreto@hotmail.com.
Hola Pablo, estamos migrando servidores a la nube que se encuentran en vmware, y la nube es oracle su administrador de equipos virtuales es hyper-v queremos hacer un data center que tengan enrutamiento de entre vmware y hyper-v alguna idea si pueda funcionar?