Windows Server 2012のHyper-Vの主要コンポーネントであるHyper-V拡張スイッチは、第2レベルの拡張可能な管理スイッチです。 拡張性とは、開発者がHyper-Vに埋め込まれたモジュールを作成し、パッケージの分析、フィルタリング、転送の標準機能を変更/拡張できることを意味します。 管理性とは、実行中の仮想マシン（VM）の分離、セキュリティ、監視に必要なレベルを提供するPowerShellまたはHyper-Vマネージャーコンソールを介して管理者が利用できる設定セット全体を意味します。 以前の投稿で、Hyper-V拡張スイッチでのプライベートVLAN（PVLAN）テクノロジの実装について説明しました。 今日は、多くの追加機能を見ていきます。

用語に関しては、Hyper-Vスイッチ（または仮想スイッチ）の概念は、Windows Server 2008/2008 R2の仮想ネットワーク（仮想ネットワーク）の概念に取って代わりました。 以前の場合、VM相互または外部との相互作用を保証するために、外部、内部、プライベートの3つのタイプのいずれかの仮想ネットワークを作成しました。次に、同じ3つのタイプで、以下に説明するすべての機能を持つ仮想スイッチを作成します。 さらに、これらの機能は、仮想スイッチの特定のポートに対して設定されます（図を参照）。また、ポートは、このポートに接続されている仮想マシンの名前、または仮想ネットワークアダプターの名前によって識別されます。



さらに、Hyper-V拡張可能スイッチの設定を、セキュリティと分離、監視、およびフォールトトレランスの3つのカテゴリに調査しました。

安全性と隔離

Hyper-Vマネージャーコンソールで、仮想ネットワークアダプターのプロパティに新しい[高度な機能]サブセクションが表示されました。 このウィンドウの最初の3つの設定は、セキュリティと分離に直接関連しています。



MACアドレスのなりすまし

デフォルトでは、Hyper-VはMACアドレスのスプーフィングを禁止しています。 つまり、VMが発信パケットの送信者のMACアドレス、つまり、このマシンの仮想ネットワークアダプターに関連付けられたMACアドレスを別のMACアドレスに置き換えようとすると、Hyper-Vはそのようなパケットをブロックします。 上部のチェックボックスをそれぞれ設定すると、スプーフィングが許可されます。 いつものように、Hyper-Vマネージャーコンソールでできることはすべて、PowerShellでできます。 図に示されているSRV4という名前のVMの場合、MACアドレススプーフィングの組み込みは、次のコマンドによって実装されます。

Set-VMNetworkAdapter -VMName srv4 -MacAddressSpoofing On 

DHCP保護（DHCPガード）

この設定は、VM内で実行されている不正なDHCPサーバーをブロックするために使用する必要があります。 技術的には、このチェックボックスをインストールすると、Hyper-VはこのVMからのDHCP確認パケットをブロックし、DHCPクライアントがこのVMからIP設定を受信できないようにします。

 Set-VMNetworkAdapter -VMName srv4 -DhcpGuard On 

ルーターガード

DHCPガードと同様に、このチェックボックスをインストールすると、このVMからのリダイレクトパケットとルーターアドバタイズメント（リダイレクトとルーターアドバタイズメント）がブロックされます。 したがって、VMはネットワーク上の他のコンピューターのルーティングテーブルに影響を与えることはできません。

 Set-VMNetworkAdapter -VMName srv4 -RouterGuard On 

ポートアクセスコントロールリスト（ポートACL）

Hyper-V拡張スイッチポートごとに、1つ以上のアクセス制御リスト（ACL）を構成して、追加のセキュリティルールとVM分離レベルを設定できます。 すべてのACL設定はPowerShellを介してのみ設定され、リスト管理はHyper-Vマネージャーコンソールでは使用できません。 次のコマンドを使用して、リストの現在の状態を表示できます。

 Get-VMNetworkAdapterAcl -VMName srv4 

リストの追加と削除は、それぞれAdd -VMNetworkAdapterAclコマンドとRemove-VMNetworkAdapterAclコマンドによって実行されます 。 両方のコマンドの構文は同じです。 ACLごとに、次を指定する必要があります。

• ローカルまたはリモートIPアドレスまたはMACアドレス
• アクションの方向：着信トラフィック、発信トラフィック、両方向（インバウンド、アウトバウンド、両方）
• 実際のアクション：許可、禁止、測定（許可、拒否、メーター）

デフォルトでは、ACLは設定されていないため、すべてのトラフィックが許可されます。 次の例では、SRV4という名前のVMのIPアドレス192.168.1.143へのトラフィックを禁止しています。

 Add-VMNetworkAdapterAcl -VMName srv4 -RemoteIPAddress 192.168.1.143 -Direction Both -Action Deny 

IPアドレスに関しては、特定のアドレスだけでなくサブネットも指定できます。

 Add-VMNetworkAdapterAcl -VMName srv4 -RemoteIPAddress 192.168.1.0/24 -Direction Both -Action Deny 

サブネットとこのサブネットの特定のアドレスの両方にACLが設定されている場合、アドレスのACLの優先度が高くなります。つまり、「より具体的な」ルールの効果が大きくなります。 たとえば、次はGet-VMNetworkAdapterAclコマンドの結果を示しています。



ご覧のとおり、192.168.1.0 / 24サブネットの禁止が設定されていると同時に、アドレス192.168.1.143のトラフィックが許可されています。 その結果、IPトラフィックはサブネット全体から1番目の143番目のアドレスでのみ可能になります。

メーターアクションを使用すると、対応するACLを作成した時点から、指定したIPまたはMACアドレスの着信および/または発信トラフィックの量を測定できます。たとえば、次のコマンドには、アドレス192.168.1.143からの着信トラフィックの測定が含まれます。

 Add-VMNetworkAdapterAcl -VMName srv4 -RemoteIPAddress 192.168.1.143 -Direction Inbound -Action Meter 

同じGet-VMNetworkAdapterAclを使用して結果を確認できます。

モニタリング

ポートミラーリングメカニズムにより、トラフィックモニタリングを実装できます。 ミラーリングを構成するには、情報のソースを指定する必要があります。Hyper-Vマネージャーでは、次のようにします。



次に、トラフィックを監視する目的のVMの設定で、同じフィールドの[宛先]を選択します。 PowerShellでは、これはSet-VMNetworkAdapterコマンドのパラメーターを使用して行われます。

 Set-VMNetworkAdapter -VMName srv4 -PortMirroring Destination 

その後、VM SRV3ポートへのすべてのトラフィック（着信および発信）がコピーされ、VM SRV4ポートにリダイレクトされます。 SRV4のトラフィック分析に必要なソフトウェアをインストールするだけです。 重要な条件は、両方のVMを同じ仮想スイッチに接続する必要があることです。

耐障害性

仮想ネットワークアダプターの詳細プロパティの最後のオプションは、フォールトトレランス、つまりネットワークアダプターのグループ化（NICチーミング）の技術に関連しています。



NICチーミングはWindows Server 2012の標準機能であり、一般的には別の投稿に値します。 この機能により、複数の物理ネットワークアダプターをグループに結合し、一方で「ネットワークカード」に障害が発生した場合のネットワークトラフィックのフォールトトレランスを提供し、他方でグループに含まれるアダプターの帯域幅を集約できます。

さまざまな理由により、ホストマシンでタイミングを有効にしたくない場合があります。 ただし、ホストに複数の物理ネットワークアダプターがある場合は、ゲストOS内でNICチーミングを使用できます。 ホストに2枚のネットワークカードがあると想像してください。 一部のVMに2つの仮想ネットワークアダプターがあり、これらのアダプターが外部タイプの2つの仮想スイッチを介して2つの物理カードに接続され、Windows Server 2012がVM内にインストールされている場合、ゲストOS内でNICチーミングを構成できます。 また、このようなVMは、タイミング、フォールトトレランス、およびスループットの向上の利点を活用できます。 ただし、Hyper-Vが1つの物理アダプターに障害が発生した場合、このVMのトラフィックを別の物理アダプターに転送する必要があることを理解するには、タイミングに含まれる各仮想NICのプロパティで上記のチェックボックスを設定するだけです。 PowerShellでは、同様の設定が次のように指定されます。

 Set-VMNetworkAdapter -VMName srv4 -AllowTeaming On 

上記で説明したすべての設定は、VMを実行するために設定でき、すぐに有効になります。 もちろん、これはHyper-V拡張スイッチのすべての機能ではありません。 Hyper-Vで使用可能なコマンドレットの一覧を確認すると、さらに多くの興味深いものが見つかります。

結論として、モスクワで11月26日にWindows Server 2012およびSystem Center 2012に特化したIT Campシリーズの無料セミナーが開催されることに注意したいと思います。 あなたは生きている製品を見て質問をすることができます。

資料が役に立てば幸いです。
よろしくお願いします！