bluebay2014 - Fotolia

Hyper-V: Mehr Netzwerk-Performance und -Sicherheit

Wenn Sie den Netzwerkadapter in Hyper-V geschickt konfigurieren, lassen sich Funktionen wie IPsec-Task-Abladung, DHCP-Wächter, Port-Mirroring und NIC-Teaming aktivieren.

Die allgemeinen Einstellungen für den Netzwerkadapter in Microsoft Hyper-V reichen häufig aus, aber Hyper-V bietet noch andere Optionen, mit denen Administratoren die Sicherheit und Performance erhöhen können. In vielen Fällen erfordern diese optionalen Funktionen jedoch Unterstützung auf Hardware- oder Gast-OS-Ebene.

Wenn Sie mit dem Hyper-V Manager eine virtuelle Maschine (VM) anlegen, fragt der Assistent für neue virtuelle Computer Sie, mit welchem virtuellen Switch die VM verbunden werden soll. Der Setup-Assistent, den Sie in Abbildung 1 sehen, erstellt in Hyper-V einen Netzwerkadapter, der an den von ihnen gewählten Switch gebunden wird.

Sehr wahrscheinlich müssen Sie den virtuellen Netzwerkadapter (Virtual Network Interface Card, vNIC) nie wieder anfassen, es sei denn, Sie benötigen eine VLAN-Konnektivität (Virtual LAN). Trotzdem gibt es eine überraschende Vielzahl an Einstellungen, um das Verhalten der vNIC anzupassen.

Das ist die einzige netzwerkbezogene Frage, die der Hyper-V Manager stellt, wenn Sie eine VM anlegen.
Abbildung 1: Das ist die einzige netzwerkbezogene Frage, die der Hyper-V Manager stellt, wenn Sie eine VM anlegen.

VNIC-bezogene Einstellungen

Um auf die zusätzlichen vNIC-bezogenen Einstellungen zuzugreifen, klicken Sie mit der rechten Maustaste auf die VM und wählen aus dem Kontextmenü den Befehl Einstellungen. Daraufhin gelangen Sie zu den Einstellungen der VM.

Wie Abbildung 2 zeigt, sind die Konfigurationsmöglichkeiten im Zusammenhang mit der vNIC wirklich einfach. Sie können auswählen, mit welchem virtuellen Switch Sie die vNIC verbinden wollen, und außerdem ein beliebiges VLAN angeben, das Sie nutzen möchten. Ferner lässt sich die Bandbreitenverwaltung für die vNIC aktivieren sowie die akzeptable maximale und minimale Bandbreite festlegen.

Die Einstellungen für vNIC, VLAN-ID und Bandbreiten-Management sind einfach und selbsterklärend.
Abbildung 2: Die Einstellungen für vNIC, VLAN-ID und Bandbreiten-Management sind einfach und selbsterklärend.

Die oben dargestellten Einstellungen erlauben die grundlegende Konfiguration der vNIC. Wenn Sie eine detailliertere Kontrolle über die vNIC wünschen, stehen dazu einige spezielle Einstellungen zur Verfügung. Klicken Sie auf der linken Fensterseite auf das Plus-Icon links neben dem Hyper-V-Netzwerkadapter – wie in Abbildung 2 zu sehen –, um das Menü für den Netzwerkadapter mit zusätzlichen Optionen aufzuklappen.

Zusätzliche Einstellungen

Die zusätzlichen Einstellungen sind in zwei Kategorien aufgeteilt. Die erste davon nennt sich Hardwarebeschleunigung (siehe Abbildung 3).

Die Hardwarebeschleunigung ermöglicht diverse Einstellungen im Zusammenhang mit Hardware-Offloading.
Abbildung 3: Die Hardwarebeschleunigung ermöglicht diverse Einstellungen im Zusammenhang mit Hardware-Offloading.

Mit der ersten Einstellung lässt sich die Warteschlange für virtuelle Maschinen (Virtual Machine Queue, VMQ) aktivieren. Dabei handelt es sich um eine Networking-Technologie, um die effiziente Übertragung von Netzwerkpaketen zu und von einem Virtualisierungs-Host zu ermöglichen.

VMQ ist in der Lage, Pakete per Direct Memory Access (DMA) direkt in das Shared Memory einer VM zu senden. Sie steigert zudem die Performance, indem sie die Paketverarbeitung auf mehrere CPUs verteilt. VMQ kann die Performance für VMs mit intensivem Netzwerk-I/O signifikant verbessern, aber um diesen Vorteil zu nutzen, muss die physische Netzwerkkarte des Hosts VMQ auf Hardwareebene unterstützen.

Die andere verfügbare Funktion auf dem Reiter für die Hardwarebeschleunigung nennt sich IPsec-Task-Abladung (Enable IPsec task offloading). Windows hat das IPsec-Protokoll lange Zeit als Mittel verwendet, um Netzwerk-Traffic-Streams zu verschlüsseln. Damit ließ sich verhindern, dass die Inhalte der Pakete innerhalb der verschlüsselten Streams angezeigt wurden.

VMQ ist in der Lage, Pakete per Direct Memory Access direkt in das Shared Memory einer VM zu senden.

Allerdings gibt es einen Nachteil von IPsec: Wie bei anderen Verschlüsselungsprotokollen führt die Verschlüsselung beziehungsweise Entschlüsselung zu einem beträchtlichen Overhead. Hyper-V kann die Effekte dieses Overheads reduzieren, indem es IPsec-bezogene Tasks an den physischen Netzwerkadapter auslagert, sofern dieser die IPsec-Abladung unterstützt. Sie müssen lediglich die IPsec-Task-Abladung per Checkbox aktivieren und die maximale Anzahl der ausgelagerten Sicherheitszuordnungen angeben.

Erweiterte Funktionen

Die zweite zur Verfügung stehende Kategorie sind die erweiterten Funktionen (siehe Abbildung 4). Die wichtigste Funktion hier ist die Möglichkeit, eine statische MAC-Adresse (Media Access Control) einzutragen – anstatt Hyper-V zu erlauben, der vNIC automatisch eine MAC-Adresse zuzuweisen – und MAC-Spoofing zu aktivieren.

Dies sind einige der wichtigsten erweiterten Funktionen, die zur Verfügung stehen.
Abbildung 4: Dies sind einige der wichtigsten erweiterten Funktionen, die zur Verfügung stehen.

Auf dem Reiter mit den erweiterten Funktionen finden sich ebenfalls eine Reihe von Checkboxen, mit denen Sie verschiedene Netzwerkfeatures ein- oder ausschalten. Zum Beispiel kann der DHCP-Wächter (DHCP Guard) die DHCP-Kommunikation von nicht berechtigten VMs, die vorgaukeln, sie seien DHCP-Server, unterbinden. Ähnlich ist der Router-Wächter (Router Guard) imstande, die VM vor nicht berechtigten VMs abzuschirmen, die vorgeben, sie seien Router.

Eine weitere wählbare Option innerhalb der erweiterten Funktionen nennt sich Geschütztes Netzwerk (Protected network). Durch Aktivieren dieser einfachen Checkbox darf die VM im Falle einer unterbrochenen Netzwerkverbindung automatisch zu einem anderen Cluster-Knoten migrieren – unter der Annahme, dass die VM hochverfügbar ist.

Die Einstellungen für Port-Mirroring sind eine weitere hilfreiche Funktion in dieser Kategorie. Port-Mirroring ermöglicht die Spiegelung des VM-Traffics auf eine andere VM, um den Traffic-Stream zu überwachen.

Die Seite mit den erweiterten Funktionen enthält darüber hinaus eine Checkbox für das NIC-Teaming. Sie können diese Option verwenden, um ein NIC-Team auf Gastebene zu erstellen. Allerdings muss dazu das Gast-OS NIC-Teaming unterstützen.

Zu guter Letzt können Sie dank der Gerätebenennung den Namen des Hyper-V-Netzwerks in das Gast-OS übertragen. In den meisten Fällen müssen Sie diese Einstellung wohl nicht aktivieren. Aber die Option ist zu Identifizierungszwecken nützlich, wenn Gäste über mehrere NICs verfügen.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die NIC-Teaming-Funktionen von Hyper-V

So verbessern Sie die Netzwerk-Performance von Hyper-V

So verwalten Sie die Sicherheitsrechte in Hyper-V richtig

Erfahren Sie mehr über Netzwerk- und Anwendungs-Performance

ComputerWeekly.de
Close