Sie können die Netzwerkrichtlinien für mehrere Portgruppen auf einem vSphere Distributed Switch ändern.
Voraussetzungen
Erstellen Sie einen vSphere Distributed Switch mit einer oder mehreren Portgruppen.
Prozedur
- Navigieren Sie im vSphere Web Client zum Distributed Switch.
- Klicken Sie im Objektnavigator mit der rechten Maustaste auf den Distributed Switch und wählen Sie Verteilte Portgruppen > Verteilte Portgruppen verwalten aus.
- Aktivieren Sie auf der Seite „Portgruppenrichtlinien auswählen“ das Kontrollkästchen neben den Richtlinienkategorien, die geändert werden sollen, und klicken Sie auf Weiter.
Option Beschreibung Sicherheit Nehmen Sie Einstellungen zu MAC-Adressänderungen, zu gefälschten Übertragungen und zum Promiscuous-Modus für die ausgewählten Portgruppen vor. Traffic-Shaping Legen Sie die durchschnittliche Bandbreite, die Spitzenbandbreite und die Burstgröße für den ein- und ausgehenden Datenverkehr auf den ausgewählten Portgruppen fest. VLAN Konfigurieren Sie die Art der Verbindung der ausgewählten Portgruppen zu physischen VLANs. Teaming und Failover Legen Sie den Lastausgleich, die Failover-Erkennung, die Switch-Benachrichtigung und die Failover-Reihenfolge für die ausgewählten Portgruppen fest. Ressourcenzuteilung Legen Sie die Zuordnung des Netzwerkressourcenpools für die ausgewählten Portgruppen fest. Überwachen Aktivieren oder deaktivieren Sie NetFlow auf den ausgewählten Portgruppen. Filtern und Markieren des Datenverkehrs Konfigurieren Sie eine Richtlinie für das Filtern (zulassen oder verwerfen) und Markieren bestimmter Datenverkehrstypen über die Ports von ausgewählten Portgruppen. Sonstiges Aktivieren oder deaktivieren Sie die Portblockierung auf den ausgewählten Portgruppen. - Wählen Sie auf der Seite „Portgruppen auswählen“ die zu bearbeitende(n) verteilte(n) Portgruppe(n) aus und klicken Sie auf Weiter.
- (Optional) Verwenden Sie die Dropdown-Menüs auf der Seite „Sicherheit“, um die Sicherheitsausnahmen zu bearbeiten, und klicken Sie auf Weiter.
Option Beschreibung Promiscuous-Modus - Ablehnen. Die Aktivierung des Promiscuous-Modus für den Gastadapter hat keine Auswirkungen darauf, welche Frames vom Adapter empfangen werden.
- Akzeptieren. Bei Aktivierung des Promiscuous-Modus für den Gastadapter werden alle Frames erkannt, die über den vSphere Distributed Switch übertragen werden und die nach der VLAN-Richtlinie für die an den Adapter angeschlossene Portgruppe zugelassen sind.
MAC-Adressänderungen - Ablehnen. Wenn die Option auf Ablehnen festgelegt ist und die MAC-Adresse des Adapters im Gastbetriebssystem in einen anderen Wert geändert wird als in den, der in der .vmx-Konfigurationsdatei angegeben ist, werden alle eingehenden Frames verworfen.
Wenn das Gastbetriebssystem die MAC-Adresse zurück in die MAC-Adresse in der .vmx-Konfigurationsdatei ändert, werden wieder alle eingehenden Frames durchgeleitet.
- Akzeptieren. Die Änderung der MAC-Adresse des Gastbetriebssystems hat die gewünschte Auswirkung. Frames an die neue MAC-Adresse werden empfangen.
Gefälschte Übertragungen - Ablehnen. Alle ausgehenden Frames, bei denen sich die MAC-Quelladresse von der für den Adapter festgelegten MAC-Adresse unterscheidet, werden verworfen.
- Akzeptieren. Es wird keine Filterung vorgenommen und alle ausgehenden Frames werden durchgeleitet.
- (Optional) Verwenden Sie die Dropdown-Menüs auf der Seite „Traffic-Shaping“, um das Ingress- oder Egress-Traffic-Shaping zu aktivieren bzw. zu deaktivieren, und klicken Sie auf Weiter.
Option Beschreibung Status Wenn Sie entweder Ingress-Traffic-Shaping oder Egress-Traffic-Shaping aktivieren, begrenzen Sie die zugeteilte Netzwerkbandbreite für jeden mit der betreffenden Portgruppe verknüpften VMkernel-Adapter oder virtuellen Netzwerkadapter. Wenn Sie die Richtlinie deaktivieren, besteht für Dienste standardmäßig eine uneingeschränkte Verbindung zum physischen Netzwerk. Durchschnittliche Bandbreite Legt fest, wie viele Bit pro Sekunde im Durchschnitt einen Port durchlaufen dürfen (zulässige durchschnittliche Datenlast). Spitzenbandbreite Die maximale Zahl der Bit pro Sekunde, die einen Port durchlaufen darf, wenn er einen Datenverkehr-Burst sendet oder empfängt. Diese maximale Zahl begrenzt die Bandbreite, die ein Port nutzen kann, wenn er seinen Burst-Bonus verwendet. Burstgröße Die maximal zulässige Byte-Anzahl in einem Burst. Wenn dieser Parameter gesetzt ist, kann ein Port einen Burst-Bonus erhalten, wenn er nicht die gesamte ihm zugeteilte Bandbreite nutzt. Immer wenn dieser Port mehr Bandbreite benötigt als von der Einstellung Durchschnittliche Bandbreite angegeben, kann er die Erlaubnis erhalten, Daten mit einer höheren Geschwindigkeit zu übertragen, wenn ein Burst-Bonus verfügbar ist. Dieser Parameter begrenzt die Anzahl der Byte, die im Burst-Bonus angesammelt werden und mit einer höheren Geschwindigkeit übertragen werden können. - (Optional) Verwenden Sie die Dropdown-Menüs auf der Seite „VLAN“, um die VLAN-Richtlinie zu bearbeiten, und klicken Sie auf Weiter.
Option Beschreibung Keine Verwenden Sie VLAN nicht. VLAN Geben Sie im Feld VLAN-ID eine Zahl zwischen 1 und 4094 ein. VLAN-Trunking Geben Sie einen VLAN-Trunk-Bereich ein. Privates VLAN Wählen Sie ein verfügbares privates VLAN aus, das verwendet werden soll. - (Optional) Verwenden Sie die Dropdown-Menüs auf der Seite „Teaming und Failover“, um die Einstellungen zu bearbeiten, und klicken Sie auf Weiter.
Option Beschreibung Lastausgleich Für eine IP-basierte Gruppierung ist es erforderlich, dass der physische Switch mit Ether-Channel konfiguriert wird. Bei allen anderen Optionen muss Ether-Channel deaktiviert sein. Wählen Sie, wie ein Uplink ausgewählt werden soll. - Anhand des ursprünglichen virtuellen Ports routen. Wählen Sie den Uplink basierend auf dem virtuellen Port, durch den der Datenverkehr in den Distributed Switch gelangt ist.
- Anhand des IP-Hashs routen. Wählen Sie einen Uplink anhand eines Hashs der Quell- und Ziel-IP-Adresse jedes Pakets aus. Bei Paketen ohne IP wird zur Berechnung des Hashs der Wert verwendet, der im Offset eingetragen ist.
- Anhand des Quell-MAC-Hashs routen. Wählen Sie einen Uplink anhand eines Hashs des Quell-Ethernets aus.
- Anhand der physischen Netzwerkkartenauslastung routen. Wählen Sie einen Uplink auf Grundlage der aktuellen Auslastungen der physischen Netzwerkkarten.
- Ausdrückliche Failover-Reihenfolge verwenden. Es wird immer der Uplink ausgewählt, der an erster Stelle der Liste der aktiven Adapter steht und die Failover-Ermittlungskriterien erfüllt.
Netzwerkausfallerkennung Wählen Sie die Verfahrensweise zur Verwendung der Failover-Erkennung aus. - Nur Verbindungsstatus. Als Grundlage dient ausschließlich der vom Netzwerkadapter angegebene Verbindungsstatus. Über diese Option werden Fehler wie nicht angeschlossene Kabel oder Betriebsausfälle des physischen Switches ermittelt, nicht jedoch Konfigurationsfehler, z. B. die Blockierung eines Ports des physischen Switches durch STP (Spanning Tree Protocol), eine Zuweisung zum falschen VLAN oder nicht angeschlossene Kabel an der anderen Seite eines physischen Switches.
- Signalprüfung. Sendet Signale, wartet auf Signalprüfpakete auf allen Netzwerkkarten in der Gruppe und verwendet diese Informationen zusätzlich zum Verbindungsstatus, um einen Verbindungsausfall zu ermitteln. Verwenden Sie die Signalprüfung nicht zusammen mit dem IP-Hash-Lastausgleich.
Switches benachrichtigen Wählen Sie Ja oder Nein, um Switches bei einem Failover zu benachrichtigen. Verwenden Sie diese Option nicht, wenn die an die Portgruppe angeschlossenen virtuellen Maschinen den Netzwerklastausgleich (NLB) von Microsoft im Unicast-Modus verwenden.
Wenn Sie Ja wählen, wird jedes Mal, wenn eine virtuelle Netzwerkkarte an einen Distributed Switch angeschlossen wird oder ein Failover-Ereignis dazu führt, dass der Datenverkehr einer virtuellen Netzwerkkarte über eine andere physische Netzwerkkarte im Team geleitet wird, eine Benachrichtigung über das Netzwerk gesendet, um die Verweistabellen auf den physischen Switches zu aktualisieren. Verwenden Sie diesen Prozess, um die niedrigste Latenz von Failover-Vorkommen und Migrationen mit vMotion zu erreichen.
Failback Wählen Sie Ja oder Nein, um die Failback-Funktion zu deaktivieren bzw. zu aktivieren. Diese Option bestimmt, wie ein physischer Adapter nach einem Ausfall wieder in den aktiven Betrieb genommen wird.- Ja (Standard). Der Adapter wird sofort nach der Wiederherstellung seiner Funktionsfähigkeit aktiviert und ersetzt damit den Standby-Adapter, der ggf. seinen Platz eingenommen hatte.
- Nein. Ein ausgefallener Adapter bleibt nach der Wiederherstellung seiner Funktionsfähigkeit deaktiviert, bis ein anderer gegenwärtig aktiver Adapter ausfällt und ersetzt werden muss.
Failover-Reihenfolge Wählen Sie, wie die Verarbeitungslast für Uplinks verteilt werden soll. Um bestimmte Uplinks zu verwenden und andere für den Fall zu reservieren, dass die verwendeten Uplinks ausfallen, legen Sie diese Bedingung fest, indem Sie sie in unterschiedliche Gruppen verschieben. - Aktive Uplinks. Dieser Uplink wird weiter verwendet, wenn die Verbindung zum Netzwerkadapter hergestellt und aktiv ist.
- Standby-Uplinks. Dieser Uplink wird verwendet, wenn mindestens eine Verbindung zum aktiven Adapter nicht verfügbar ist. Wenn Sie den IP-Hash-Lastausgleich verwenden, konfigurieren Sie keine Standby-Uplinks.
- Nicht verwendete Uplinks. Verwenden Sie diesen Uplink nicht.
- (Optional) Verwenden Sie auf der Seite „Ressourcenzuteilung“ das Dropdown-Menü Netzwerkressourcenpool, um Ressourcenzuteilungen hinzuzufügen oder zu entfernen, und klicken Sie auf Weiter.
- (Optional) Verwenden Sie das Dropdown-Menü auf der Seite „Überwachen“, um NetFlow zu aktivieren bzw. zu deaktivieren, und klicken Sie auf Weiter.
Option Beschreibung Deaktiviert NetFlow ist für die verteilte Portgruppe deaktiviert. Aktiviert NetFlow ist für die verteilte Portgruppe aktiviert. Sie können auf der vSphere Distributed Switch-Ebene NetFlow-Einstellungen konfigurieren. - (Optional) Aktivieren oder deaktivieren Sie auf der Seite „Filtern und Markieren des Datenverkehrs“ im Dropdown-Menü Status Datenverkehrsregeln für das Filtern oder Markieren bestimmter Datenflüsse und klicken Sie auf Weiter.
Sie können die folgenden Attribute einer Regel festlegen, die den Zieldatenverkehr und die zugehörige Aktion bestimmen:
Option Beschreibung Name Name der Regel Aktion - Zulassen. Gewährt den Zugriff auf einen bestimmten Datenverkehrstyp.
- Verwerfen. Verweigert den Zugriff auf einen bestimmten Datenverkehrstyp.
- Tag. Klassifiziert den Datenverkehr bezüglich QoS, indem CoS- und DSCP-Tags eingefügt werden oder Datenverkehr damit erneut gekennzeichnet wird.
Datenverkehrsrichtung Legt fest, ob die Regel für eingehenden, ausgehenden oder ein- und ausgehenden Datenverkehr gilt. Die Datenverkehrsrichtung beeinflusst auch, wie Sie Datenverkehrsquelle und -Ziel identifizieren.
Systemdatenverkehrsbezeichner Gibt an, dass die Regel für Systemdatenverkehr gilt, und legt den Infrastrukturprotokolltyp fest, für den die Regel gelten soll. Markieren Sie z. B. den Datenverkehr für die Verwaltung durch vCenter Server mit einem Prioritäts-Tag. MAC-Bezeichner Qualifiziert den Datenverkehr für die Regel anhand des Layer 2-Headers. - Protokolltyp. Legt das Nächste-Schicht-Protokoll fest (IPv4, IPv6 usw.), das die Nutzlast verarbeitet.
Dieses Attribut entspricht dem Feld „EtherType“ in Ethernet-Frames.
Sie können ein Protokoll aus dem Dropdown-Menü auswählen oder seine Hexadezimalzahl eingeben.
Um beispielsweise nach Datenverkehr für das LLDP-Protokoll (Link Layer Discovery Protocol) zu suchen, geben Sie 88CC ein.
- VLAN-ID. Sucht Datenverkehr anhand des VLAN.
Der VLAN-ID-Bezeichner in einer verteilten Portgruppe funktioniert mit Virtual Guest Tagging (VGT).
Wenn ein Datenfluss mit einer VLAN-ID durch Virtual Switch Tagging (VST) gekennzeichnet wird, kann er mit dieser ID in einer Regel für eine verteilte Portgruppe nicht aufgefunden werden. Das liegt daran, dass der Distributed Switch die Regelbedingungen einschließlich der VLAN-ID prüft, nachdem der Switch die Kennzeichnung des Datenverkehrs bereits aufgehoben hat. Um den Datenverkehr erfolgreich nach VLAN-ID abzugleichen, verwenden Sie eine Regel für eine Uplink-Portgruppe oder einen Uplink-Port.
- Quelladresse. Legt eine einzelne MAC-Adresse oder ein einzelnes MAC-Netzwerk zum Abgleichen von Paketen anhand der Quelladresse fest.
Für ein MAC-Netzwerk geben Sie die niedrigste Adresse im Netzwerk und eine Platzhaltermaske ein. Die Maske enthält Nullen an den Positionen der Netzwerkbits und Einsen für den Host-Teil.
Legen Sie z. B. für ein MAC-Netzwerk mit dem Präfix 05:50:56, das 23 Bit lang ist, die Adresse als 00:50:56:00:00:00 und die Maske als 00:00:01:ff:ff:ff fest.
- Zieladresse. Legt eine einzelne MAC-Adresse oder ein einzelnes MAC-Netzwerk zum Abgleichen von Paketen anhand der Zieladresse fest. Die MAC-Zieladresse unterstützt das gleiche Format wie die Quelladresse.
IP-Bezeichner Qualifiziert den Datenverkehr für die Regel anhand des Layer 3-Headers. - Protokoll. Legt das Nächste-Schicht-Protokoll fest (TCP, UDP usw.), das die Nutzlast verarbeitet.
Wählen Sie im Dropdown-Menü ein Protokoll aus oder geben Sie die entsprechende Dezimalzahl gemäß RFC 1700, Assigned Numbers ein.
Beim TCP- und UDP-Protokoll können Sie auch den Quell- und Zielport festlegen.
- Quellport. Gleicht TCP- oder UDP-Pakete mit einem Quellport ab. Beachten Sie die Richtung des Datenverkehrs, der im Geltungsbereich der Regel liegt, wenn Sie den Quellport bestimmen, mit dem Pakete abgeglichen werden sollen.
- Zielport. Gleicht TCP- oder UDP-Pakete mit dem Zielport ab. Beachten Sie die Richtung des Datenverkehrs, der im Geltungsbereich der Regel liegt, wenn Sie den Zielport bestimmen, mit dem Pakete abgeglichen werden sollen.
- Quelladresse. Legt die IP-Version, eine einzelne IP-Adresse oder ein Subnetz zum Abgleichen von Paketen anhand der Quelladresse fest.
Für ein Subnetz geben Sie die niedrigste Adresse und die Bitlänge des Präfixes ein.
- Zieladresse. Legt die IP-Version, eine einzelne IP-Adresse oder ein Subnetz zum Abgleichen von Paketen anhand der Quelladresse fest. Die IP-Zieladresse unterstützt das gleiche Format wie die Quelladresse.
- (Optional) Wählen Sie auf der Seite „Verschiedenes“ Ja oder Nein aus dem Dropdown-Menü aus und klicken Sie auf Weiter.
Wählen Sie Ja, um alle Ports in der Portgruppe zu schließen. Durch das Herunterfahren wird möglicherweise der normale Netzwerkbetrieb auf den Hosts oder virtuellen Maschinen gestört, die die Ports verwenden.
- Überprüfen Sie Ihre Einstellungen auf der Seite Bereit zum Abschließen, und klicken Sie auf Beenden.
Verwenden Sie die Schaltfläche Zurück, um Einstellungen zu ändern.