VMware虛擬交換機(jī)配置說(shuō)明和建議

1、VMware 虛擬交換機(jī)配置說(shuō)明和建議在ESX 中實(shí)施的虛擬交換機(jī)，其運(yùn)行方式與現(xiàn)代以太網(wǎng)交換機(jī)的方式大致相同。與物理交換機(jī)類似，虛擬交換機(jī)也有一個(gè) MAC：端口轉(zhuǎn)發(fā)表。當(dāng)該轉(zhuǎn)發(fā)表到達(dá)并轉(zhuǎn)發(fā)至一個(gè)或多個(gè)傳輸端口時(shí)，它將查找每個(gè)幀的目標(biāo) MAC 地址。虛擬交換機(jī)提供標(biāo)準(zhǔn)的 VLAN 分段，且可以配置這些分段。但是，與物理交換機(jī)不同，ESX 可為這些配置信息提供虛擬以太網(wǎng)適配器的直接通道，作為權(quán)威的 MAC 過(guò)濾器更新程序。因此，不必獲得單播地址，也不必執(zhí)行 IGMP 偵測(cè)即可獲得多播組成員身份。此外，VMware Infrastructure 強(qiáng)制采用單層網(wǎng)絡(luò)拓?fù)?，這種拓?fù)浣Y(jié)構(gòu)不支持多個(gè)虛擬交換

2、機(jī)互連。由于以太網(wǎng)循環(huán)不是問(wèn)題，因此不需要生成樹協(xié)議。 在虛擬網(wǎng)絡(luò)配置中，深入復(fù)雜的配置包括“配置 VLAN、二層安全性、通信量調(diào)整和網(wǎng)卡捆綁負(fù)載平衡等網(wǎng)絡(luò)策略，以及故障切換策略”,其中涵蓋了物理網(wǎng)卡跨網(wǎng)段、虛擬網(wǎng)絡(luò)經(jīng)過(guò)防火墻、網(wǎng)絡(luò)通道冗余連接等內(nèi)容。* VLAN ，它允許虛擬網(wǎng)絡(luò)加入物理 VLAN 或支持 QOS 策略。 * 二層安全性選項(xiàng)，它可通過(guò)控制混雜模式、更改 MAC 地址和偽傳輸來(lái)強(qiáng)制執(zhí)行虛擬網(wǎng)卡在虛擬機(jī)中可執(zhí)行的操作。* 通信量調(diào)整可定義平均帶寬、峰值帶寬以及網(wǎng)絡(luò)流量激增大小?？梢詫?duì)以上策略進(jìn)行設(shè)置，從而加強(qiáng)通信量管理。* 網(wǎng)卡捆綁，它可為單個(gè)端口組或網(wǎng)絡(luò)設(shè)置網(wǎng)卡捆綁策略，以便共

3、享通信量負(fù)載或在硬件出現(xiàn)故障時(shí)提供故障切換。要配置策略，從 vSwitch Properties（虛擬交換機(jī)屬性） 對(duì)話框中，選擇要應(yīng)用策略的虛擬交換機(jī)或端口組，然后單擊 Edit（編輯）。 VI Client 為以上四種策略分別提供了一個(gè)選項(xiàng)卡。首先是 VLAN的配置。VLAN 的優(yōu)點(diǎn)：可靈活地進(jìn)行網(wǎng)絡(luò)分區(qū)和配置可提高性能可節(jié)約成本2. Vlan設(shè)置VLAN 可對(duì)站點(diǎn)或交換機(jī)端口進(jìn)行邏輯分組，支持所有站點(diǎn)或端口都像在同一物理 LAN 分段上那樣進(jìn)行通信。這包括實(shí)際上位于不同 802.1D 橋接 LAN 中的站點(diǎn)或端口。 要支持 VMware Infrastructure 用戶的 VLAN，虛

4、擬網(wǎng)絡(luò)或物理網(wǎng)絡(luò)上的某個(gè)元素必須使用 802.1Q 標(biāo)記來(lái)標(biāo)記以太網(wǎng)幀。IEEE 802.1Q 標(biāo)記可在交換機(jī)之間、甚至 WAN 之間擴(kuò)展 VLAN。要在交換機(jī)之間擴(kuò)展 VLAN，中繼鏈路必須與交換機(jī)互連。中繼端口中的幀是采用 IEEE 802.1Q 格式封裝的。除了在源 MAC 地址和目標(biāo) MAC 地址之后額外插入 4 個(gè)字節(jié)以外，這些幀與普通的以太網(wǎng)幀非常相似。 在 4 字節(jié)的 802.1Q 標(biāo)記中，前 2 個(gè)字節(jié)表示下面的幀是 802.1Q 幀，后 2 個(gè)字節(jié)表示 VLAN 標(biāo)記（3 位表示位的優(yōu)先級(jí)、1 位表示規(guī)范格式標(biāo)識(shí)、最后 12 位表示 VLAN ID）。系統(tǒng)將保留 VLAN I

5、D 0。VMware Infrastructure 支持配置 3 種 VLAN 標(biāo)記：* 外部交換機(jī)標(biāo)記 * 虛擬交換機(jī)標(biāo)記* 虛擬機(jī)客戶機(jī)標(biāo)記A：外部交換機(jī)標(biāo)記External Switch tagging (EST 模式):外部交換機(jī)標(biāo)記的運(yùn)行方式與物理網(wǎng)絡(luò)類似。數(shù)據(jù)包到達(dá)交換機(jī)端口時(shí)被附上標(biāo)記，離開交換機(jī)端口并傳輸至服務(wù)器時(shí)清除標(biāo)記。通常，VLAN 配置對(duì)每臺(tái)物理服務(wù)器來(lái)說(shuō)都是透明的。 這種方法有一個(gè)缺點(diǎn)，即：如果使用基于端口的 VLAN 標(biāo)記（這在企業(yè) VLAN 部署中十分常見(jiàn)），那么它所支持的虛擬 LAN 總數(shù)將受指定 ESX 系統(tǒng)中安裝的網(wǎng)卡數(shù)量的限制。 外部交換機(jī)標(biāo)記要求像設(shè)置任

6、何物理服務(wù)器一樣設(shè)置 VLAN 配置。 無(wú)需在 ESX 主機(jī)中進(jìn)行任何配置，即可使用外部交換機(jī)標(biāo)記。當(dāng)端口組的 VLAN ID 設(shè)置為 0 或未設(shè)置任何值時(shí)，將啟用外部交換機(jī)標(biāo)記。（如下圖）B：虛擬交換機(jī)標(biāo)記 Virtual Switch tagging (VST 模式):虛擬交換機(jī)標(biāo)記是最常見(jiàn)的配置。在此模式中，可以在虛擬交換機(jī)上為每個(gè) VLAN 置備一個(gè)端口組，然后將虛擬機(jī)的虛擬適配器連接到端口組，而不是直接連接到虛擬交換機(jī)。虛擬交換機(jī)的端口組可標(biāo)記所有的出站幀并刪除所有入站幀的標(biāo)記。此外，它還可以確保 VLAN 之間不會(huì)相互泄露幀。 ESX 的虛擬交換機(jī)標(biāo)記具有以下優(yōu)點(diǎn)：不同的 VLAN

7、 幀可以復(fù)合至一個(gè)物理網(wǎng)卡中，因此可以將任何 VLAN 的所有通信量都整合到一個(gè)物理網(wǎng)卡中。無(wú)需為多個(gè) VLAN 配備多個(gè)網(wǎng)卡。無(wú)需在虛擬機(jī)內(nèi)運(yùn)行客戶操作系統(tǒng)指定的 VLAN 驅(qū)動(dòng)程序。由于所有的高速網(wǎng)卡都支持 VLAN 加速，因此在虛擬交換機(jī)中支持 VLAN 標(biāo)記幾乎不會(huì)影響性能。并且，設(shè)置適當(dāng)?shù)奶摂M中繼模式之后，再置備其他 VLAN 時(shí)無(wú)需配置其他交換機(jī)。外部交換機(jī)配置變得非常容易。要使用虛擬交換機(jī)標(biāo)記，必須創(chuàng)建適當(dāng)?shù)亩丝诮M，并將端口組的 VLAN ID 設(shè)置為 1 至 4094 之間的任何數(shù)字（包括 1 和 4094）。端口組的值，在虛擬機(jī)中必須具有唯一性。如下圖：C：虛擬客戶機(jī)標(biāo)記 V

8、irtual Machine Guest tagging (VGT 模式):我們還可以選擇在虛擬機(jī)內(nèi)安裝 802.1Q VLAN 中繼驅(qū)動(dòng)程序。當(dāng)幀傳出或傳入虛擬交換機(jī)時(shí)，會(huì)在虛擬機(jī)網(wǎng)絡(luò)堆棧與外部交換機(jī)之間保留標(biāo)記。虛擬客戶機(jī)標(biāo)記的優(yōu)點(diǎn)如下：每個(gè)虛擬機(jī)的 VLAN 數(shù)量不受虛擬適配器數(shù)量的限制，這意味著虛擬機(jī)可以位于網(wǎng)絡(luò)中任何數(shù)量的 VLAN 上。因此，如果單個(gè)虛擬機(jī)必須位于網(wǎng)絡(luò)中 5 個(gè)或更多不同的 VLAN 上，則必須使用此標(biāo)記方法。 并且，如果物理服務(wù)器已在運(yùn)行 VLAN 驅(qū)動(dòng)程序，則可以輕松使用 VMware Converter 或引導(dǎo)式整合功能來(lái)轉(zhuǎn)換服務(wù)器，而無(wú)需重新配置現(xiàn)有 VLA

9、N 標(biāo)記。新虛擬機(jī)將自動(dòng)繼承物理機(jī)的所有 VLAN 設(shè)置。 虛擬客戶機(jī)標(biāo)記的缺點(diǎn)如下：并非始終可能、或始終可以輕松找到并配置客戶操作系統(tǒng)的 802.1Q 驅(qū)動(dòng)程序。并且，如果沒(méi)有 VLAN 硬件加速，則將占用額外的 CPU 循環(huán)來(lái)標(biāo)記出站幀，并刪除入站幀標(biāo)記。要配置虛擬客戶機(jī)標(biāo)記，請(qǐng)輸入 4095 作為端口組的 VLAN ID。然后，可以在虛擬機(jī)內(nèi)運(yùn)行 802.1Q VLAN 中繼驅(qū)動(dòng)程序。VMware 沒(méi)有附帶 802.1Q vmxnet 驅(qū)動(dòng)程序。對(duì)于 Windows 客戶機(jī)，該驅(qū)動(dòng)程序僅可與 E1000 虛擬網(wǎng)卡一起使用。Linux 客戶機(jī)使用 dot1q 模塊。配置如下：D: 對(duì)于虛擬

10、交換機(jī)標(biāo)記和虛擬客戶機(jī)標(biāo)記，必須將外部虛擬交換機(jī)端口配置為 VLAN 中繼端口，并將封裝中繼端口設(shè)置為 802.1q。ESX 不支持動(dòng)態(tài)中繼協(xié)議，因此請(qǐng)將中繼端口配置為靜態(tài)且無(wú)條件。將端口設(shè)置為中繼模式時(shí)，確保在 ESX 系統(tǒng)中配置的 VLAN 已定義，并確保虛擬中繼端口支持該 VLAN。默認(rèn)行為因交換機(jī)和供應(yīng)商的不同而有所不同。可能需要在物理交換機(jī)中明確定義所有與 ESX 一起使用的 VLAN。對(duì)于每個(gè) VLAN 的定義，可以指定 VLAN ID、名稱、類型、MTU、安全性關(guān)聯(lián)標(biāo)識(shí)符、狀態(tài)、環(huán)號(hào)碼和橋接標(biāo)識(shí)號(hào)等。對(duì)于默認(rèn)支持所有端口的交換機(jī)（例如，Cisco 某些交換機(jī)的 VLAN 1 至

11、VLAN 1005 均支持所有端口），可能無(wú)需任何操作。然而，要實(shí)現(xiàn)最佳安全實(shí)踐并顯著減少處理多余數(shù)據(jù)包的時(shí)間，VMware 建議根據(jù)需要限制 VLAN 的數(shù)量。本地 VLAN 用于交換機(jī)控制和管理協(xié)議。在許多類型的交換機(jī)中，本地 VLAN 幀未采用任何 VLAN ID 進(jìn)行標(biāo)記。在這種情況下，中繼端口自動(dòng)將所有未標(biāo)記的幀視為本地 VLAN 幀。對(duì)于大多數(shù) Cisco 交換機(jī)而言，VLAN 1 是其默認(rèn)的本地 VLAN ID。然而，在許多企業(yè)網(wǎng)絡(luò)中，本地 VLAN 可能是 VLAN 1 或 100。根據(jù)交換機(jī)類型和運(yùn)行的配置，它可以為任何數(shù)字。一種常見(jiàn)的最佳做法是，避免將本地 VLAN（通常是

12、 VLAN 1）用于任何常規(guī)數(shù)據(jù)通信。VMware 建議不要將任何 ESX 虛擬交換機(jī)端口組的 VLAN ID 與本地 VLAN 關(guān)聯(lián)。另外，只要避免使用 VLAN 端口組的本地 VLAN，就無(wú)需在 ESX 系統(tǒng)中進(jìn)行本地 VLAN 的相關(guān)配置。如果必須將 VLAN 1 與端口組關(guān)聯(lián)，并需要它傳輸虛擬機(jī)網(wǎng)絡(luò)通信量，則必須完成以下兩項(xiàng)操作中的一項(xiàng)：確保 VLAN 1 不是物理交換機(jī)的本地 VLAN?？梢詫⒛J(rèn)的本地 VLAN 更改為另一個(gè) VLAN ID。或者，需要啟用本地 VLAN 802.1Q 標(biāo)記功能。有些交換機(jī)不支持該選項(xiàng)，而對(duì)于有些交換機(jī)來(lái)說(shuō)，由于在默認(rèn)情況下已啟用本地 VLAN 中的

13、標(biāo)記，因此根本無(wú)需啟用該選項(xiàng)。 當(dāng)采取上述任一步驟在某一外部交換機(jī)上更改本地 VLAN 行為時(shí)，還可能需要更改所有相鄰的交換機(jī)，使它們?nèi)钥梢栽诒镜?VLAN 中正常通信。2. 二層安全性控制：在向虛擬交換機(jī)添加端口或端口組時(shí)，VI Client 需要為該端口配置安全配置文件。使用此安全配置文件，可以確保 ESX 阻止虛擬機(jī)的客戶操作系統(tǒng)模擬網(wǎng)絡(luò)中的其他計(jì)算機(jī)。ESX 已實(shí)施此安全功能，這樣負(fù)責(zé)模擬的客戶操作系統(tǒng)將不會(huì)檢測(cè)到已阻止該模擬操作。正如我們剛才在此課程中提到的那樣，創(chuàng)建適配器時(shí)，每個(gè)虛擬網(wǎng)絡(luò)適配器都已分配自己的 MAC 地址。這一地址稱為初始 MAC 地址。盡管可以從客戶操作系統(tǒng)外部重

14、新配置初始 MAC 地址，但客戶操作系統(tǒng)無(wú)法更改它。除了初始 MAC 地址以外，每個(gè)適配器還有一個(gè)有效 MAC 地址，用于過(guò)濾掉那些MAC目標(biāo)地址與有效MAC地址不符的傳入數(shù)據(jù)包。客戶操作系統(tǒng)負(fù)責(zé)設(shè)置有效 MAC 地址，并通常使有效 MAC 地址與初始 MAC 地址相匹配。發(fā)送數(shù)據(jù)包時(shí)，操作系統(tǒng)通常將其自有網(wǎng)絡(luò)適配器的有效 MAC 地址放在以太網(wǎng)幀的源 MAC 地址字段中。此外，它還將接收網(wǎng)絡(luò)適配器的 MAC 地址放在目標(biāo) MAC 地址字段中。僅當(dāng)數(shù)據(jù)包中的目標(biāo) MAC 地址與其自有有效 MAC 地址相匹配時(shí)，接收適配器才會(huì)接受數(shù)據(jù)包。虛擬機(jī)的操作系統(tǒng)可隨時(shí)更改有效 MAC 地址。如果操作系統(tǒng)

15、已更改有效 MAC 地址，則其網(wǎng)絡(luò)適配器可接收發(fā)往新 MAC 地址的網(wǎng)絡(luò)通信量。另外，操作系統(tǒng)可隨時(shí)使用模擬的源 MAC 地址來(lái)發(fā)送幀。這樣，操作系統(tǒng)可通過(guò)模擬接收網(wǎng)絡(luò)所授權(quán)的網(wǎng)絡(luò)適配器，向網(wǎng)絡(luò)中的設(shè)備發(fā)起惡意攻擊。可以使用 ESX 主機(jī)上的虛擬交換機(jī)安全配置文件，來(lái)防止操作系統(tǒng)更改有效 MAC 地址所引發(fā)的問(wèn)題。如下圖：Promiscuous Mode：混雜模式控制虛擬機(jī)是否可以查看 ESX 主機(jī)上其他節(jié)點(diǎn)的單播通信量。默認(rèn)情況下，此選項(xiàng)設(shè)置為 Reject（拒絕），這意味著虛擬網(wǎng)絡(luò)適配器在混雜模式下無(wú)法運(yùn)行。在混雜模式中，虛擬網(wǎng)絡(luò)適配器無(wú)需執(zhí)行任何接收過(guò)濾，因此客戶操作系統(tǒng)可接收線路上觀察

16、到的所有通信量。盡管混雜模式可以有效跟蹤網(wǎng)絡(luò)活動(dòng)，但這種運(yùn)行模式極不安全，因?yàn)闊o(wú)論某些數(shù)據(jù)包是否只能由特定的網(wǎng)絡(luò)適配器接收，在混雜模式中所有適配器都可訪問(wèn)這類數(shù)據(jù)包。這意味著虛擬機(jī)中的管理員或 Root 用戶可以查看傳輸至其他客戶機(jī)或主機(jī)操作系統(tǒng)的通信量。盡管最常用的混雜模式應(yīng)當(dāng)處于關(guān)閉狀態(tài)，但如果正在運(yùn)行網(wǎng)絡(luò)入侵檢測(cè)軟件或數(shù)據(jù)包端口掃描器，那么也可將虛擬交換機(jī)配置為在混雜模式中運(yùn)行。MAC Address Changes：更改 MAC 地址會(huì)影響入站通信量。默認(rèn)情況下，MAC 地址更改已設(shè)置為 Accept（接受），這意味著 ESX 主機(jī)允許將有效 MAC 更改為除初始 MAC 地址以外的其

17、他地址。如果將此選項(xiàng)設(shè)置為 Reject（拒絕），則 ESX 不允許將有效 MAC 地址更改為除初始 MAC 地址以外的其他地址。相反，它將禁用虛擬適配器用來(lái)發(fā)送請(qǐng)求的端口。因此，如果客戶操作系統(tǒng)將有效 MAC 地址更改為與初始 MAC 地址不匹配的地址，虛擬適配器不會(huì)接收任何幀?？蛻舨僮飨到y(tǒng)無(wú)法檢測(cè)到 MAC 地址的更改尚未經(jīng)過(guò)授權(quán)。Forged Transmits：偽傳輸將影響出站通信量。默認(rèn)情況下，此選項(xiàng)設(shè)置為 Accept（接受），這意味著 ESX 主機(jī)不會(huì)將源 MAC 地址與有效 MAC 地址進(jìn)行比較。如果將此選項(xiàng)設(shè)置為 Reject（拒絕），ESX 主機(jī)會(huì)將操作系統(tǒng)正在傳輸?shù)脑?M

18、AC 地址與其適配器的有效 MAC 地址進(jìn)行比較，查看它們是否匹配。如果地址不匹配，ESX 會(huì)丟棄此數(shù)據(jù)包?？蛻舨僮飨到y(tǒng)不會(huì)檢測(cè)到其虛擬網(wǎng)絡(luò)適配器無(wú)法使用模擬的 MAC 地址發(fā)送數(shù)據(jù)包。ESX 主機(jī)將在任何使用模擬地址傳遞數(shù)據(jù)包傳輸之前將其截獲，因此，客戶操作系統(tǒng)可能會(huì)假設(shè)數(shù)據(jù)包已被丟棄。3. 通信量調(diào)整ESX 通過(guò)為 3 個(gè)出站通信量的特征建立參數(shù)的方式來(lái)調(diào)整通信量：平均帶寬、網(wǎng)絡(luò)流量激增大小和峰值帶寬。* 平均帶寬可確定平均每秒允許通過(guò)虛擬交換機(jī)的比特?cái)?shù)。它是允許的平均負(fù)載。* 網(wǎng)絡(luò)流量激增大小可確定網(wǎng)絡(luò)流量激增允許的最大字節(jié)數(shù)。如果某一網(wǎng)絡(luò)流量激增超過(guò)網(wǎng)絡(luò)流量激增大小參數(shù)，則超出的數(shù)據(jù)包

19、將排成隊(duì)列，等待稍后傳輸。如果隊(duì)列已滿，則數(shù)據(jù)包將被丟棄。指定平均帶寬和網(wǎng)絡(luò)流量激增大小的值時(shí)，應(yīng)指出需要虛擬交換機(jī)在正常運(yùn)行中處理哪些事項(xiàng)。* 峰值帶寬是指虛擬交換機(jī)端口在不丟棄數(shù)據(jù)包的情況下的最大帶寬。如果通信量超出指定的峰值帶寬，則超出部分的數(shù)據(jù)包將排成隊(duì)列，等到稍后連接中的通信量恢復(fù)至平均值、且系統(tǒng)可以提供足夠的空閑循環(huán)來(lái)處理隊(duì)列的數(shù)據(jù)包，然后才可進(jìn)行傳輸。如果隊(duì)列已滿，則數(shù)據(jù)包將被丟棄。即使因連接閑置而擁有備用帶寬，峰值帶寬參數(shù)也會(huì)限制傳輸量不得超過(guò)峰值，直到通信量恢復(fù)到允許的平均負(fù)載水平為止。可以通過(guò) VI Client 設(shè)置這些參數(shù)的值，為每個(gè)端口組制定通信量調(diào)整策略。默認(rèn)情況下

20、，網(wǎng)絡(luò)通信量調(diào)整處于關(guān)閉狀態(tài)。即：每個(gè)虛擬機(jī)最多可傳輸其客戶操作系統(tǒng)（遵循虛擬交換機(jī)連接的物理接口限制）能生成的所有出站通信量。受這些控制限制的虛擬機(jī)可能會(huì)超出其平均帶寬，并接近峰值帶寬，但只能傳輸由其網(wǎng)絡(luò)流量激增大小定義的數(shù)據(jù)量?？稍谔摂M交換機(jī)級(jí)別或端口組級(jí)別中定義通信量調(diào)整，但 ESX 將根據(jù)每個(gè)虛擬網(wǎng)卡應(yīng)用通信量調(diào)整。例如，如果將某個(gè)端口組的平均帶寬設(shè)置為 1000 KB/秒，則任何與該端口組相連的虛擬網(wǎng)卡可使用的平均帶寬為 1000 KB/秒。ESX 也可以將通信量調(diào)整策略應(yīng)用于虛擬交換機(jī)上的每個(gè)虛擬網(wǎng)卡。例如，如果將某個(gè)端口組中的峰值帶寬定義為 10,240 KB/秒，意味著每個(gè)虛擬

21、網(wǎng)卡的峰值帶寬將以每秒 10,240 KB 的速度映射到該端口組。如果有 4 個(gè)虛擬網(wǎng)卡映射到該端口組，則端口組的總峰值帶寬為 40,960 KB/秒。通信量調(diào)整策略僅調(diào)整出站 網(wǎng)絡(luò)通信量。要控制入站通信量，請(qǐng)打開路由器中的速率限制功能，或使用網(wǎng)卡捆綁策略中定義的負(fù)載平衡系統(tǒng)。4. Network Teaming使用網(wǎng)卡捆綁，可以將單個(gè)虛擬交換機(jī)與多個(gè)物理以太網(wǎng)適配器相連。 通過(guò)捆綁，可在部分或所有成員中共享物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間的通信量負(fù)載，并在出現(xiàn)硬件故障或網(wǎng)絡(luò)停用的情況下提供被動(dòng)故障切換功能。 網(wǎng)卡捆綁要求同一組中的所有物理交換機(jī)端口都位于同一個(gè)二層廣播域中。使用Load Balanci

22、ng 負(fù)載平衡，可以將虛擬交換機(jī)中虛擬機(jī)的網(wǎng)絡(luò)通信量分配至一個(gè)或多個(gè)物理以太網(wǎng)適配器，并提供比單個(gè)物理適配器更高的吞吐量。當(dāng)每個(gè) IP 數(shù)據(jù)包離開其虛擬網(wǎng)卡時(shí)，VMkernel 必須決定哪個(gè)上行端口（即物理網(wǎng)卡）將該數(shù)據(jù)包運(yùn)載到外部環(huán)境中。使用 VI Client 設(shè)置網(wǎng)卡捆綁策略時(shí)，可以從 4 種路由方式中任選一種： 當(dāng)選擇 Route based on the originating virtual port ID（基于起始虛擬端口 ID 的路由） 時(shí)，VMkernel 將根據(jù)通信量進(jìn)入虛擬機(jī)時(shí)所使用的虛擬端口來(lái)選擇上行端口。 當(dāng)選擇 Route based on source MAC h

23、ost（基于源 MAC 主機(jī)的路由） 時(shí)，VMkernel 將根據(jù)源以太網(wǎng)的哈希選擇上行端口。在上述兩種情況下，負(fù)載平衡都是以每個(gè)虛擬網(wǎng)卡為基礎(chǔ)。即：除非在網(wǎng)卡捆綁中發(fā)生向其他適配器轉(zhuǎn)移故障的情況，否則給定的虛擬以太網(wǎng)適配器的通信量將持續(xù)發(fā)送到同一物理適配器中。同樣，由于物理交換機(jī)獲得了端口關(guān)聯(lián)，因此答復(fù)將由同一物理適配器接收。如果虛擬以太網(wǎng)適配器的數(shù)量超過(guò)物理適配器的數(shù)量，這兩個(gè)選項(xiàng)將平均分配通信量。如下圖示：當(dāng)選擇 Route based on IP hash（基于 IP 哈希的路由） 時(shí)，VMkernel 將通過(guò)分析每個(gè)數(shù)據(jù)包的源 IP 地址和目標(biāo) IP 地址的哈希來(lái)分配負(fù)載。對(duì)于非 I

24、P 數(shù)據(jù)包，無(wú)論何種偏移量，都用來(lái)計(jì)算哈希。這種方法可以在物理網(wǎng)卡中更好地分配通信量，但也有一些不足之處： 由于 VMkernel 必須檢查路由信息的幀，因此 CPU 開銷可能會(huì)略有增加。 它需要鏈路聚合功能的支持。 由于系統(tǒng)不支持 PAgP 或 LACP 協(xié)商，因此必須將物理交換機(jī)的鏈路聚合配置為靜態(tài)且無(wú)條件。 由于許多交換機(jī)不允許將端口的鏈路聚合分配至多個(gè)物理交換機(jī)，因此，不可選擇在多個(gè)物理交換機(jī)上進(jìn)行網(wǎng)卡捆綁。如下圖示：最后一個(gè)選項(xiàng)是 Use explicit failover order（使用顯示故障切換順序），實(shí)際上就是不指定負(fù)載平衡。在此情況下，VMkernel 總是從傳輸故障切換

25、檢測(cè)標(biāo)準(zhǔn)的活動(dòng)適配器列表中選擇最高順序的上行端口。 Network Failover Detection：故障切換配置指定在適配器發(fā)生故障的情況下如何檢測(cè)并重新路由通信量網(wǎng)絡(luò)故障切換檢測(cè)可確定 VMkernel 如何檢測(cè)網(wǎng)絡(luò)故障切換。它提供了兩種選項(xiàng)：* Link Status only（僅鏈路狀態(tài)），該選項(xiàng)完全依賴于網(wǎng)絡(luò)適配器提供的鏈路狀態(tài)。此方法可檢測(cè)各種故障（例如，電纜線和物理交換機(jī)電源故障），但無(wú)法檢測(cè)配置錯(cuò)誤（例如，物理交換機(jī)端口被生成樹凍結(jié)，或者被錯(cuò)誤配置到錯(cuò)誤的 VLAN 或物理交換機(jī)另一端的電纜線中）。* Beacon Probing（信標(biāo)探查），它可發(fā)出和偵聽物理適配器發(fā)送的

26、以太網(wǎng)廣播幀，從而檢測(cè)上游網(wǎng)絡(luò)連接故障。除了使用鏈路狀態(tài)信息以外，VMkernel 還可使用此信息來(lái)確定鏈路故障。此方法可檢測(cè)許多鏈路狀態(tài)單獨(dú)無(wú)法檢測(cè)到的故障，但信標(biāo)探查不能替代功能強(qiáng)大的冗余二層網(wǎng)絡(luò)設(shè)計(jì)。信標(biāo)探查最適合檢測(cè)距離 ESX 主機(jī)最近的交換機(jī)中的故障，其中的故障不會(huì)導(dǎo)致主機(jī)發(fā)生鏈路關(guān)閉事件。使用 Notify Switches（通知交換機(jī)） 策略設(shè)置，可確定 ESX 如何在發(fā)生故障的情況下與物理交換機(jī)通信。如果選擇 Yes（是），則無(wú)論何時(shí)，只要虛擬以太網(wǎng)適配器連接到虛擬交換機(jī)、或者只要該虛擬以太網(wǎng)適配器的通信量因故障切換事件而通過(guò)分組中另一不同的物理以太網(wǎng)適配器進(jìn)行路由，系統(tǒng)就會(huì)

27、通過(guò)網(wǎng)絡(luò)發(fā)出通知，要求更新物理交換機(jī)中的查找表。幾乎在所有情況下，這一選項(xiàng)可以將出現(xiàn)故障切換時(shí)產(chǎn)生的延遲減少到最低程度。注意：如果在單播 模式中使用 Microsoft 網(wǎng)絡(luò)負(fù)載平衡，請(qǐng)勿將 Notify Switches（通知交換機(jī)） 設(shè)置為 Yes（是）。但是，如果在 VMware 強(qiáng)烈推薦的多播 模式中使用網(wǎng)絡(luò)負(fù)載平衡，則可將此選項(xiàng)設(shè)置為 Yes（是）。Rolling Failover（滾動(dòng)故障切換） 可確定從故障中恢復(fù)后如何將物理適配器返回至活動(dòng)任務(wù)中。如果滾動(dòng)設(shè)置為 No（否），則一旦恢復(fù)，系統(tǒng)立即將適配器返回至活動(dòng)任務(wù)中，并替換接管其插槽的備用適配器。如果滾動(dòng)設(shè)置為 Yes（是），則即使在恢復(fù)之后，發(fā)生故障的適配器仍處于不活動(dòng)狀態(tài)，直到當(dāng)前活動(dòng)的適配器發(fā)生故障并請(qǐng)求其替換為止。故障切換順序可確定 VMkernel 如何分配適配器的工作負(fù)載。 如果需要使用部分適配器，并保留其他適配器，以便應(yīng)對(duì)正在運(yùn)行的適配器發(fā)生故障等緊急事件，則可使用下拉菜單設(shè)置此條件，以便將它們放在組中：* 當(dāng)網(wǎng)絡(luò)適配器連接處于開啟和活動(dòng)狀態(tài)時(shí)，VMkernel 可使用 Active Adapters（活動(dòng)適配器） 中列出的適配器。* 如果某一