可以修改 vSphere Distributed Switch 上多个端口组的网络连接策略。

前提条件

创建具有一个或多个端口组的 vSphere Distributed Switch。

过程

  1. vSphere Web Client 中,导航到 Distributed Switch。
  2. 在对象导航器中右键单击 Distributed Switch,然后选择分布式端口组 > 管理分布式端口组
  3. 在“选择端口组策略”页面上,选中要修改的策略类别旁边的复选框,然后单击下一步
    选项 描述
    安全 为所选端口组设置 MAC 地址更改、伪信号和混杂模式。
    流量调整 为所选端口组上的入站和出站流量设置平均带宽、峰值带宽和突发大小。
    VLAN 配置所选端口组与物理 VLAN 的连接方式。
    成组和故障切换 为所选端口组设置负载平衡、故障切换检测、交换机通知和故障切换顺序。
    资源分配 为所选端口组设置网络资源池关联。
    监控 在所选端口组上启用或禁用 NetFlow。
    流量筛选和标记 配置筛选(允许或丢弃)策略和通过选定端口组中端口的特定类型流量标记策略。
    其他 在所选端口组上启用或禁用端口阻止。
  4. 在“选择端口组”页面上,选择要编辑的分布式端口组,然后单击下一步
  5. (可选) 在“安全”页面上,使用下拉菜单以编辑安全例外,然后单击下一步
    选项 描述
    混杂模式
    • 拒绝。将客户机适配器置于混杂模式不会对适配器接收哪些帧产生任何影响。
    • 接受。将客户机适配器置于混杂模式会使其检测经由 vSphere Distributed Switch 传递、符合该适配器所连接端口组的 VLAN 策略的所有帧。
    MAC 地址更改
    • 拒绝。如果设置为拒绝并且客户机操作系统将适配器的 MAC 地址更改为不同于 .vmx 配置文件的其他任何内容,则会丢失所有入站帧。

      如果客户机操作系统将 MAC 地址重新更改为与 .vmx 配置文件中的 MAC 地址匹配的地址,入站帧可以再次通过。

    • 接受。从客户机操作系统更改 MAC 地址会达到预期效果。会接收传输到新 MAC 地址的帧。
    伪信号
    • 拒绝。对于任何出站帧,如果源 MAC 地址与当前在适配器上设置的地址不同,则将丢失这些帧。
    • 接受。不执行筛选,所有出站帧均可通过。
  6. (可选) 在“流量调整”页面上,使用下拉菜单以启用或禁用输入或输出流量调整,然后单击下一步
    选项 描述
    状态 如果启用输入流量调整输出流量调整,将为与该端口组关联的每个 VMkernel 适配器或虚拟网络适配器设置网络连接带宽分配量的限制。如果禁用策略,则在默认情况下,服务将能够自由、顺畅地连接物理网络。
    平均带宽 设定每秒允许通过端口的位数,这是一段时间内的平均值,即允许的平均负载。
    峰值带宽 当端口正在发送或接收流量突发时为了通过端口而允许采用的平均每秒最大传输位数。此数值是端口使用额外突发时所能使用的最大带宽。
    突发大小 突发中所允许的最大字节数。如果设置了此参数,则在端口没有使用为其分配的所有带宽时可能会获取额外的突发。当端口所需带宽大于平均带宽所指定的值时,如果有额外突发可用,则可能会允许以更高的速度传输数据。该参数是指流量突发时可累积且以更高速度传输的最大字节数。
  7. (可选) 在“VLAN”页面上,使用下拉菜单以编辑 VLAN 策略,然后单击下一步
    选项 描述
    不使用 VLAN。
    VLAN VLAN ID 字段中,输入一个介于 1 和 4094 之间的数字。
    VLAN 中继 输入 VLAN 中继范围
    专用 VLAN 选择可供使用的专用 VLAN。
  8. (可选) 在“绑定和故障切换”页面上,使用下拉菜单以编辑设置,然后单击下一步
    选项 描述
    负载平衡 基于 IP 的绑定要求为物理交换机配置以太通道。对于所有其他选项,应禁用以太通道。选择如何选择上行链路。
    • 基于源虚拟端口的路由。根据流量进入 Distributed Switch 所经过的虚拟端口选择上行链路。
    • 基于 IP 哈希的路由。根据每个数据包的源和目标 IP 地址哈希值选择上行链路。对于非 IP 数据包,偏移量中的任何值都将用于计算哈希值。
    • 基于源 MAC 哈希的路由。根据源以太网哈希值选择上行链路。
    • 基于物理网卡负载的路由。根据物理网卡的当前负载选择上行链路。
    • 使用明确故障切换顺序。始终使用“活动适配器”列表中位于最前列的符合故障切换检测标准的上行链路。
    网络故障检测 选择用于故障切换检测的方法。
    • 仅链路状态。仅依靠网络适配器提供的链路状态。该选项可检测故障(如拨掉线缆和物理交换机电源故障),但无法检测配置错误(如物理交换机端口受跨树阻止、配置到了错误的 VLAN 中或者拔掉了物理交换机另一端的线缆)。
    • 信标探测。发出并侦听组中所有网卡上的信标探测,使用此信息并结合链路状态来确定链接故障。不要使用包含 IP 哈希负载平衡的信标探测。
    通知交换机

    选择指定发生故障切换时是否通知交换机。当使用端口组的虚拟机正在以单播模式使用 Microsoft 网络负载平衡时,请勿使用此选项。

    如果选择,则每当虚拟网卡连接到 Distributed Switch 或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时,都将通过网络发送通知以更新物理交换机的查看表。使用此流程,使故障切换和 vMotion 迁移的延迟时间降至最少。

    故障恢复 选择以禁用或启用故障恢复。
    此选项确定物理适配器从故障恢复后如何返回到活动的任务。
    • (默认)。适配器将在恢复后立即返回到活动任务,替换接替其位置的备用适配器(如果有)。
    • 。即使发生故障的适配器已经恢复,它仍将保持非活动状态,直到当前处于活动状态的另一个适配器发生故障并要求替换为止。
    故障切换顺序 选择如何分布上行链路的工作负载。要使用一部分上行链路,保留另一部分来应对使用的上行链路发生故障时的情况,则可以通过将它们移到不同的组来设置此条件。
    • 活动上行链路。当网络适配器连接正常且处于活动状态时,继续使用此上行链路。
    • 备用上行链路。如果其中一个活动适配器的连接中断,则使用此上行链路。当使用 IP 哈希负载平衡时,不要配置待机上行链路。
    • 未使用的上行链路。不使用此上行链路。
  9. (可选) 在“资源分配”页面上,使用网络资源池下拉菜单以添加或移除资源分配,然后单击下一步
  10. (可选) 在“监控”页面上,使用下拉菜单以启用或禁用 NetFlow,然后单击下一步
    选项 描述
    已禁用 在分布式端口组上禁用了 NetFlow。
    已启用 在分布式端口组上启用了 NetFlow。可以在 vSphere Distributed Switch 级别配置 NetFlow 设置。
  11. (可选) 在流量筛选和标记页面,从状态下拉菜单中启用或禁用流量筛选和标记,为筛选或标记特定数据流配置流量规则,然后单击下一步
    可以设置规则的以下属性,以确定目标流量和其上的操作:
    选项 描述
    名称 规则的名称
    操作
    • 允许。授予特定类型流量的访问权限。
    • 丢弃。拒绝特定类型流量的访问权限。
    • 标记。通过插入 CoS 和 DSCP 标记或使用 CoS 和 DSCP 标记重新标记流量,从而按 QoS 分类流量。
    流量方向 设置规则是否适用于入站流量、出站流量或者入站和出站流量。

    此方向还会影响您识别流量源和目标的方式。

    系统流量限定符 指示规则适用于系统流量,并设置要应用规则的基础架构协议类型。例如,使用优先级标记标识通过 vCenter Server 管理的流量。
    MAC 限定符 根据第 2 层标题限定规则的流量。
    • 协议类型。设置占用负载的下一级别协议(IPv4、IPv6 等)。

      此属性与以太网帧中的 EtherType 字段相对应。

      可以从下拉菜单中选择某个协议或键入其十六进制数字

      例如,要捕获链路层发现协议 (LLDP) 的流量,请键入 88CC

    • VLAN ID。按 VLAN 捕获流量。

      在分布式端口组中 VLAN ID 限定符可以与虚拟客户机标记 (VGT) 配合使用。

      如果使用 VLAN ID 通过虚拟交换机标记 (VST) 来标记流,则无法使用此 ID 在分布式端口组规则中找到流。其原因是,交换机取消对流量的标记后,Distributed Switch 会检查规则条件(其中包括 VLAN ID)。要成功将流量与 VLAN ID 进行匹配,请为上行链路端口组或上行链路端口使用一个规则。

    • 源地址。设置单个 MAC 地址或 MAC 网络,以便根据源地址匹配数据包。

      为 MAC 网络输入网络中的低位地址和通配符掩码。掩码的网络位位置包含 0,主机部分包含 1。

      例如,对于前缀为 05:50:56 且长度为 23 位的 MAC 网络,地址将设置为 00:50:56:00:00:00,而掩码为 00:00:01:ff:ff:ff

    • 目标地址。设置单个 MAC 地址或 MAC 网络,以便根据目标地址匹配数据包。MAC 目标地址支持的格式与源地址支持的格式相同。
    IP 限定符 根据第 3 层标题限定规则的流量。
    • 协议。设置占用负载的下一级别协议(TCP、UDP 等)。

      可以从下拉菜单中选择某个协议或按照 RFC 1700(指定的编号)键入其十进制数字。

      对于 TCP 和 UDP 协议,还可以设置源端口和目标端口。

    • 源端口。将 TCP 或 UDP 数据包与源端口相匹配。确定要与数据包相匹配的源端口时,考虑规则范围内流量的方向。
    • 目标端口。按源端口匹配 TCP 或 UDP 数据包。确定要与数据包相匹配的目标端口时,考虑规则范围内流量的方向。
    • 源地址。设置 IP 版本、单个 IP 地址或子网,以便按源地址匹配数据包。

      为子网输入低位地址和前缀的位长。

    • 目标地址。设置 IP 版本、单个 IP 地址或子网,以便按源地址匹配数据包。IP 目标地址支持的格式与源地址支持的格式相同。
  12. (可选) 在“其他”页面上,从下拉菜单中选择,然后单击下一步
    选择 可关闭端口组中的所有端口。此关闭可能会中断正在使用端口的主机或虚拟机的正常网络操作。
  13. 查看“即将完成”页面上的设置,然后单击完成
    使用 上一步按钮更改任意设置。