Рекомендации По Настройке Сети Hyper-V
Теперь, когда мы рассмотрели основы Hyper-V networking, виртуальные коммутаторы, требования к сети кластера Hyper-V, а также новые функции, найденные в виртуальной сети Windows Server 2019.
Давайте рассмотрим ключевые рекомендации по созданию сетей Hyper-V, которые следует учитывать при проектировании и создании инфраструктуры Hyper-V.
По возможности установите или обновите до последней версии Windows Server. С каждым выпуском Windows Server появляются новые и расширенные возможности, связанные с Hyper-V
Используйте современные физические сетевые карты, поддерживаемые корпорацией Майкрософт и имеющие возможность использовать удаленный прямой доступ к памяти (RDMA)
Убедитесь, что вы используете новейшие драйверы сетевых карт и прошивку
Используйте очередь виртуальных машин или сетевые карты с поддержкой VMQ – это обеспечивает преимущества аппаратной виртуализации, которые позволяют более эффективно подключаться к сети для TCP / IP / iSCSI и FCoE
Использование высокоскоростных сетей между узлами Hyper-V в кластере Hyper – V-используйте не менее 10 сетей GbE между узлами Hyper-V для обеспечения соответствия требованиям к пропускной способности и производительности между узлами кластера
Включить jumbo frames-Jumbo frames обеспечивает более эффективную сетевую связь в высокопроизводительных приложениях, поскольку позволяет увеличить количество кадров передачи и снизить загрузку процессора на хостах. Гигантские кадры обычно имеют размер 9000 байт или больше, в отличие от стандартного размера 1500-байтового кадра Ethernet
Не используйте разгрузку TCP Chimney или разгрузку IPsec с Windows Server 2016. Эти технологии устарели в Windows Server 2016 и могут повлиять на производительность сервера и сети
Чтобы отключить разгрузку TCP Chimney, из командной строки с повышенными правами выполните следующие команды:Netsh int tcp show global – показывает текущие настройки TCPnetsh int tcp set global chimney=disabled-отключает разгрузку TCP Chimney, если она включена
Убедитесь, что вы используете избыточные пути между узлами кластера Hyper-V, чтобы убедиться, что при сбое в одном пути существует другой путь, который можно использовать для связи
Планируйте свои сети Hyper – V-особенно с кластерами Hyper-V, планирование сетей очень важно. Убедитесь, что вы подготовили отдельные диапазоны IP-адресов/подсети, VLAN и т
д., для ваших специфичных для кластера сетей (живая миграция, кластер, хранилище, сети виртуальных машин)
Не используйте ReFS с общими томами кластера (CSV) – в настоящее время при использовании с CSV ReFS заставляет кластер работать в режиме перенаправления файловой системы, который отправляет все операции ввода-вывода по сети кластера на узел координатора Тома. Это может значительно повлиять на производительность
Понимание кластерной сети и ее использования – вы должны включить несколько сетей для кластерной связи, так как это обеспечивает встроенную устойчивость к кластерной связи, помогая обеспечить HA этой важной сетевой связи в кластере Hyper-V
Разрешите доступ к операционной системе управления только в тех сетях, которые необходимы. Поймите, как это создает специализированные сетевые соединения на узле Hyper-V
Используемая конвергентная сеть-конвергентная сеть позволяет гораздо эффективнее использовать физические адаптеры на хосте Hyper-V, а также доступную полосу пропускания.
Used Switch Embedded Teaming – With Switch Embedded Teaming позволяет создавать команду с помощью виртуального коммутатора вместо использования физической команды
При использовании Windows Server 2019 используйте Коалесценцию сегмента приема (RSC) для повышения производительности виртуальных рабочих нагрузок
С Windows Server 2019 используйте зашифрованные сети – это позволяет шифровать все сетевые коммуникации в виртуальных сетях для шифрования в полете
Включение NAP агента
После создания объекта групповой политики NAP Client Settings, откройте этот GPO в редакторе Group Policy Management Editor. Это можно сделать, нажав правой клавишей на GPO в консоли управления групповой политикой, и выбрав команду Изменить.
В редакторе Group Policy Management Editor разверните вкладку Конфигурация компьютера, а затем вкладку Политики. Разверните вкладку Параметры Windows а затем нажмите на вкладке Системные службы.
Во вкладке Системные службы вы найдете элемент в правой панели для агента Network Access Protection Agent. Дважды нажмите на этом элементе. В диалоговом окне Свойства NAP агента отметьте опцию Определить параметры этой политики, а затем выберите опцию Автоматически. Нажмите OK.
Эти шаги включат агента NAP на тех компьютерах, для которых используется GPO. Агент NAP должен быть включен, чтобы NAP обработка функционировала корректно.
Упражнение 1. Какие из данных адресов не могут быть использованы в качестве IP-адреса конечного узла сети, подключенной к Internet? Обоснуйте ответ.
1) 0.0.0.0 означает все сетевые интерфейсы данного узла или шлюз по умолчанию (default gateway).
2) 127.0.0.1 — зарезервирован как адрес обратной связи. Если пользователь передаёт сообщение на адрес 127.0.0.1, оно должно вернуться к нему, если не произойдет сбоев в программном обеспечении. Сообщения с этим адресом не выходят из сети, а остаются на компьютере, на котором работает программа протокола IP.
3) 169.254.240.13/16 — по умолчанию в случае недоступности DHCP-сервера всем сетевым подключениям назначаются адреса APIPA, частные адреса (Automatic Private IP Addressing) расположеные в диапазоне от 169.254.0.1 до 169.254.255.254. Маска подсети 255.255.0.0.
4) 226.4.37.105 – групповой IP-адрес. Значение первого октета у групповых адресов от 224-х и выше.
5) 103.24.254.0/8 — может быть использован в качестве IP-адреса конечного узла сети.
6) 154.12.255.255/16 — направленного широковещания для сети 154.12.xxx.xxx. Направленные широковещательные адреса обеспечивают мощный механизм, позволяющий удаленному устройству посылать одну IP -дейтаграмму, которая будет доставлена в режиме широковещания в указанную сеть.
7) 255.255.255.255 — используется для ограниченных широковещательных сообщений (limited broadcast).
172.16.12.1 — зарезервированные частный IP-адрес администрацией IANA.
9) 204.0.3.1 — может быть использован в качестве IP-адреса конечного узла сети.
10) 193.256.1.16 – не входит в диапазон адресов (256> 255).
11) 194.87.45.0/24 — обозначает пул адресов (в поле номер узла все нули).
12) 195.34.116.255/24 — используется для направленных широковещательных сообщений (broadcast или multicasting).
13) 161.23.45.305 – не входит в диапазон адресов (305> 255).
Включение компьютеров Vista в группу безопасности NAP Enforced Computers
Когда параметры групповой политики заданы, мы можем включить на компьютер Vista клиента в группу безопасности NAP Enforced Computers. Откройте консоль Пользователи и компьютеры Active Directory и нажмите по вкладке Пользователи в левой панели консоли.
Дважды нажмите на элементе NAP Enforce Computers. Это вызовет диалоговое окно свойств NAP Enforced Computers. Перейдите по вкладке Члены группы и нажмите кнопку Добавить.
В диалоговом окне Выбор пользователей, контактов, компьютеров или групп введите имя компьютера, который будет участвовать в NAP enforcement. В этом примере у нас есть компьютер, член домена, под названием VISTA2, и мы введем это имя в текстовое поле Ввод имен объектов для выбора.
Если машина, которую вы хотите включить в группу NAP enforcement, еще не включена в домен, вы можете вместо этого создать учетную запись компьютера в Active Directory, используя опцию добавления компьютера в консоли пользователей и компьютеров Active Directory. Затем, вы сможете позже присоединить эту машину к домену. В нашей сети, которую мы используем в этой статье, компьютер VISTA2 уже входит в домен.
На данном этапе можно воспользоваться командой gpupdate /force на контроллере домена. Также, если ваши машины с включенной NAP уже принадлежат к домену, нужно будет перезагрузить эти компьютеры, чтобы новые параметры групповой политики вступили в силу.
Наиболее проблемной областью в решении NAP являются тайминги групповой политики. В производственной сети придется долго ждать распространения групповой политики, но в тестовой лаборатории мы склонны к нетерпимости и хотим, чтобы все работало сразу. Если вы обнаружите, что параметры не применены к клиенту, запаситесь терпением. Перезагрузите клиента пару раз или выполните команду gpupdate /force на клиенте. Если NAP все еще не работает, то нужно перепроверить все параметры настройки NAP, а также групповой политики. Здесь очень много «движущихся частей», поэтому очень легко упустить какой-либо шаг.
Теперь давайте проверим решение NAP в действии.
Использование автоматической адресации TCP/IP без DHCP-сервера
- 5/26/2020
- Чтение занимает 2 мин
В этой статье
В этой статье описывается, как использовать автоматическую адресацию протокола управления передачей или протокола Интернета (TCP/IP) без наличия в сети сервера DHCP. Версии операционной системы, перечисленные в разделе «применимо к» этой статьи, имеют функцию автоматического назначения частных IP-адресов (APIPA). с помощью этой функции компьютер Windows может назначить себе IP-адрес в случае, если DHCP-сервер недоступен или не существует в сети. Эта функция делает настройку и поддержку небольшой локальной сети (LAN), использующей протокол TCP/IP, менее сложной.
Установка роли сервера DHCP в Windows Server 2012 R2
Перед тем как устанавливать роль DHCP сервера, необходимо выполнить предварительную подготовку, например, составить план добавления областей (подсеть, диапазон), какие ip исключить из раздачи, какие параметры необходимо раздавать, это для ускорения процесса установки и настройки, также необходимо задать статический ip адрес того сервера, на котором Вы собираетесь устанавливать роль сервера DHCP. Теперь переходим к практике.
Шаг 1
Открываем «Диспетчер серверов» в принципе он открывается при старте системы, но в случае если он закрыт, или Вы настроили сервер таким образом, чтобы диспетчер серверов при входе в систему не запускался, то нажимаем Пуск->Диспетчер серверов
Нажимаем «Добавить роль сервера», можно непосредственно через быстрый запуск, а можно через меню «Управление»
Далее нас встретит так сказать страница приветствия, мы жмем «Далее»
Далее уже по умолчанию выбран необходимый пункт, т.е. «Установка ролей или компонентов», жмем «Далее»
Шаг 5
Затем необходимо выбрать на какой сервер иди виртуальный жесткий диск, мы будем устанавливать DHCP сервер, в моем случае локально, т.е. этот же самый сервер, также хочу заметить, что ip адрес у моего тестового сервера 10.10.0.5 соответственно для примера я буду создавать область в этой же подсети, жмем «Далее»
Шаг 6
Далее необходимо выбрать какую роль мы собираемся устанавливать, мы соответственно выбираем DHCP сервер
После нажатия, откроется окно, в котором нам сразу предложат выбрать для установки средства администрирования DHCP сервера, мы соглашаемся, иначе, далее нам все равно придется это выбирать, если конечно мы хотим администрировать DHCP с этого компьютера, жмем «Добавить компоненты»
И снова жмем «Далее»
Шаг 7
Здесь нам предложат выбрать необходимые компоненты, если на прошлом шаге Вы выбрали «Добавить компоненты» то необходимые компоненты уже будут выбраны, если поискать в этих компонентах то мы это увидим, жмем «Далее»
Шаг 8
Здесь нас как раз предупреждают о том, что необходимо составить план настройки DHCP и задать хотя бы один статический адрес на данном компьютере, жмем «Далее»
Шаг 9
Затем мы должны будем подтвердить установку, и в случае необходимости поставить галочку «Автоматический перезапуск конечного сервера», но в данном случае это делать не обязательно, поэтому жмем «Установить»
И начнется установка, и продлится она буквально пару минут
Шаг 10
Установка завершена, и нам предложат выполнить предварительную настройку, она нужна, для того чтобы создать соответствующие группы для делегирования полномочий управления DHCP сервером, жмем «Завершение настройки DHCP»
Далее нажимаем «Фиксировать», уточню, что у меня это тестовый сервер и домен не развернут, поэтому после, у меня в локальных группах появятся соответствующие группы.
Затем нам сообщают, что группы созданы, и то, что необходимо перезапустить службы DHCP, жмем «Закрыть»
Примеры того, где можно использовать APIPA
Пример 1. нет предыдущего IP-адреса и DHCP-сервера
при инициализации компьютера на основе Windows (настроенного для DHCP) он выполняет вещание трех или более «discover» сообщений. если DHCP-сервер не отвечает после вещания нескольких сообщений discover, Windows компьютер назначает себе адрес класса B (APIPA). затем Windows компьютер отобразит сообщение об ошибке для пользователя компьютера (ему не назначен IP-адрес с сервера DHCP). после этого Windows компьютер будет отсылать сообщение Discover каждые три минуты при попытке установить связь с DHCP-сервером.
Пример 2. предыдущий IP-адрес без DHCP-сервера
Компьютер проверяет наличие DHCP-сервера и, если он не найден, предпринимается попытка обратиться к шлюзу по умолчанию. если шлюз по умолчанию отвечает, то на Windows компьютере будет сохранен IP-адрес, по которому ранее был арендован. Однако если компьютер не получает ответ от шлюза по умолчанию или не назначен, то он использует функцию автоматического частного IP-адресации, чтобы назначить себе IP-адрес. Пользователю предоставляется сообщение об ошибке, и сообщения обнаружения передаются каждые 3 минуты. Когда DHCP-сервер поступает в строке, создается сообщение о том, что обмен данными с DHCP-сервером был восстановлен.
MAC-адрес
Изменить MAC-адреса сетевых интерфейсов можно с помощью файла конфигурации сети.
Файл Пример изменения MAC-адресса
# для изменения MAC-адресса интерфейса
mac_eth0=»00:11:22:33:44:55″
# для случайного изменения только последних 3 байтов
mac_eth0=»random-ending»
# для случайного изменения между таким же типом физического интерфейса
# (например: оптика, медь, беспроводное), все производители
mac_eth0=»random-samekind»
# для случайного изменения между всеми типами физического интерфейса
# (например: оптика, медь, беспроводное), все производители
mac_eth0=»random-anykind»
# полностью случайные — ВНИМАНИЕ, некоторые MAC-адреса, сгенерированные
# таким образом, могут работать НЕ так как задумывалось
mac_eth0=»random-full»
Резюме
В этой заключительной части серии статей об использовании внедрения DHCP с NAP, мы рассмотрели настройку сервера DHCP, а затем настроили параметры групповой политики на автоматизацию установки политики, завершили статью тестированием нашего решения и убедились, что политика внедрения NAP DHCP действительно работает. В будущем я планирую написать еще статьи о конфигурации NAP, используя различные методы внедрения. Мы рассмотрим более сложные опции, такие как использование нескольких NAP и DHCP серверов (или серверов внедрения). Увидимся! ‘Том.
Иcточник: winsecurity.ruОпубликована — 06.11.2008
Настройка DHCP сервера на Windows Server 2012 R2
Мы установили сам DHCP сервер и средства его администрирования, теперь необходимо его настроить, для этого запускаем оснастку управления DHCP сервером, это можно сделать через «Диспетчер серверов», меню «Средства», или через Пуск->администрирование
После открытия оснастки DHCP сервера, начинаем настраивать DHCP сервер, и первое что необходимо сделать, это создать область, например я, буду это делать для 4 версии протокола ip. Выбираем IPv4 правой кнопкой «Создать область»
И у нас откроется «Мастер создания области», мы жмем «Далее»
Далее задаем имя нашей области, и жмем «Далее»
Затем необходимо сделать важный шаг, это настроить диапазон адресов, из которого DHCP сервер будет раздавать ip компьютерам в сети. Я для примера ввел диапазон с 10.10.0.1 до 10.10.0.200 с 24 маской. После настройки жмем «Далее»
Затем необходимо указать какие ip адреса или диапазон адресов исключить из раздачи, для того чтобы ip адреса серверов или какой-то оргтехнике со статическими адресами, не раздавались, сюда можно указать шлюз, DNS сервера и другие. Жмем «Далее»
Далее необходимо задать срок действия аренды адресов, можете ставить в принципе любой, я для примера поставил 30 дней. Жмем «Далее»
Затем у нас спросят, хотим ли мы настроить основные параметры, которые будет раздавать DHCP сервер, предлагаю это сделать сразу, и соответственно выбираем «ДА» и жмем «Далее»
Первое указываем шлюз по умолчанию
Второе указываем DNS сервера, для раздачи, здесь также можно указать название домена, но так как у меня, его нет, я просто ввожу ip адреса dns серверов
Третье это сервера WINS, лично мне это не требуется, поэтому я просто жму «Далее»
Вот и все основные параметры, их, конечно же, намного больше, но это можно сделать уже непосредственно через настройку параметров. Нам предлагают активировать область, мы, конечно же, соглашаемся.
Вот и все мы создали область и настроили основные параметры, далее произойдет завершение работы мастера создания области, жмем «Готово»
Что такое адресное пространство? Приведите пример плоского и иерархического адресного пространства.
Множество всех адресов, которые являются допустимыми в рамках некоторой схемы адресации, называется адресным пространством.
Адресное пространство может иметь плоскую (линейную) (рис. 1) или иерархическую (рис. 2) организацию.
В первом случае множество адресов никак не структурировано.
При иерархической схеме адресации оно организовано в виде вложенных друг в друга подгрупп, которые, последовательно сужая адресуемую область, в конце концов определяют отдельный сетевой интерфейс.
Приплоской организациимножество адресов никак не структурировано. Примером плоского числового адреса являетсяМАС-адрес,предназначенный для однозначной идентификации сетевых интерфейсов в локальных сетях.
Для работы в больших сетях символьное имя может иметь иерархическую структуру, например ftp-arch1.ucl.ac.uk. Этот адрес говорит о том, что данный компьютер поддерживает ftp-архив в сети одного из колледжей Лондонского университета (University College London – ucl) и эта сеть относится к академической ветви (ас) Интернета Великобритании (United Kingdom – uk).
Windows Server 2019 Новые Функции Виртуальной Сети
Microsoft добилась огромных успехов с каждым выпуском Windows Server, введя новые функции для расширения и повышения мощности платформ Windows Server и Hyper-V.
Давайте рассмотрим две новые функции и усовершенствования в Windows Server 2019 в области сетей, которые, несомненно, будут функциями, которыми захотят воспользоваться ИТ-администраторы.
Зашифрованные виртуальные сети-шифрование виртуальной сети позволяет шифровать трафик виртуальной сети между виртуальными машинами, которые взаимодействуют друг с другом в подсетях, помеченных как включенное шифрование. Он также использует datagram Transport Layer Security (DTLS) в виртуальной подсети для шифрования пакетов. DTLS защищает от подслушивания, фальсификации и подделки любым лицом, имеющим доступ к физической сети. Это обычно известно как шифрование данных в полете и является механизмом безопасности, который повышает безопасность данных.
Повышение производительности сети для виртуальных рабочих нагрузок-новые улучшения в Windows Server 2019 помогают снизить загрузку ЦП хоста и увеличить пропускную способность. Кроме того, технология Коалесцирования сегмента приема (RSC) в vSwitch позволяет коалесцировать несколько сегментов TCP в меньшее количество, но больших сегментов. Обработка этих меньших, больших сегментов более эффективна, чем обработка многочисленных, маленьких сегментов.
В целом, Коалесценция сегмента Receive была доступна в Windows Server 2012, но предоставляла только аппаратные разгрузочные версии технологии. Однако эта технология была несовместима с виртуальными рабочими нагрузками. Как только сетевой адаптер подключается к vSwitch, этот тип RSC отключается.
Рабочие нагрузки, чей путь передачи данных пересекает виртуальный коммутатор, извлекают выгоду из этой функции.
Например:
- Хост виртуальные сетевые карты в том числе:Программно-Определяемая СетьХост Hyper-VСкладские Помещения Прямые
- Гостевые Виртуальные Сетевые Карты Hyper-V
- Программно-определяемые сетевые шлюзы GRE
- Контейнер
Выбор адреса
Большинство хостов IPv4 используют локальную адресацию канала только в крайнем случае, когда сервер DHCP недоступен. В противном случае хост IPv4 использует свой назначенный DHCP адрес для всех коммуникаций, глобальных или локальных. Одна из причин заключается в том, что хосты IPv4 не обязаны поддерживать несколько адресов на интерфейс, хотя многие из них это делают. Другой заключается в том, что не каждый хост IPv4 реализует распределенное разрешение имен (например, многоадресный DNS ), поэтому обнаружение автоматически настроенного локального адреса канала другого хоста в сети может быть трудным. Обнаружение назначенного DHCP адреса другого хоста требует либо распределенного разрешения имен, либо одноадресного DNS-сервера с этой информацией; В некоторых сетях есть DNS-серверы, которые автоматически обновляются с помощью назначенных DHCP информации об узле и адресе.
Хосты IPv6 должны поддерживать несколько адресов на интерфейс; более того, каждый хост IPv6 должен настраивать локальный адрес канала, даже если доступны глобальные адреса. Хосты IPv6 могут дополнительно самостоятельно настраивать дополнительные адреса при получении сообщений с объявлением маршрутизатора, что устраняет необходимость в DHCP-сервере.
И IPv4, и IPv6 хосты могут случайным образом генерировать специфичную для хоста часть автоконфигурированного адреса. Хосты IPv6 обычно объединяют префикс длиной до 64 бит с 64-битным EUI-64, полученным из 48-битного MAC-адреса IEEE, назначенного производителем . Преимущество MAC-адреса в том, что он является глобально уникальным, что является основным свойством EUI-64. Стек протокола IPv6 также включает обнаружение повторяющихся адресов, чтобы избежать конфликтов с другими хостами. В IPv4 этот метод называется автоконфигурацией локального адреса канала . Однако Microsoft называет это автоматической частной IP-адресацией ( APIPA ) или автоматической настройкой интернет-протокола (IPAC). Эта функция поддерживается в Windows как минимум с Windows 98 .
IP адресация
Для работы по сети любому устройству требуется IP-адрес. В протоколе IPv4 это числовой идентификатор, состоящий из 4 разрядов, каждый из которых отделяется точкой, без него устройство не может быть определено в сетевой инфраструктуре. Зачастую маршрутизатор имеет IP-адрес 192.168.1.1, а подключённое к нему устройство, например, 192.168.1.2.
Клиенту должна быть присвоена определённая маска подсети, например, 255.255.255.0. Она позволяет определить к какой сети относится данный клиент.
Для связи между интернетом и сетью в любой сети должен быть определён IP-адрес основного шлюза. В роли шлюза выступает маршрутизатор, который предоставляет доступ в сеть всем устройствам в своей сети.
Как называется адрес 255.255.255.255? Какие узлы получат информацию по такому адресу назначения? Что такое направленное широковещательное сообщение? Почему в сетях TCP/IP широковещательный шторм ограничен?
255.255.255.255 — глобальный широковещательный адрес. Информацию по такому адресу назначения получают узлы, которые находятся в пределах той сети, где находится отправитель.
Направленный широковещательный запрос может передаваться либо на сетевой адрес, либо на сетевой широковещательный адрес.
Защита от широковещательных штормов в сетях, построенных на основе мостов, имеет количественный, а не качественный характер: администратор просто ограничивает количество широковещательных пакетов, которое разрешается генерировать некоторому узлу.
С другой стороны, использование механизма виртуальных сегментов, реализованного в коммутаторах локальных сетей, приводит к полной локализации трафика — такие сегменты полностью изолированы друг от друга, даже в отношении широковещательных кадров. Поэтому в сетях, построенных только на мостах и коммутаторах, компьютеры, принадлежащие разным виртуальным сегментам, не образуют единой сети.
Включение в Windows
В случае подключения компьютера напрямую к кабелю от интернет-провайдера, как правило, умения работать с DHCP не требуется. Поскольку в большинстве случаев подключение физических лиц происходит через протокол PPPoE, в котором пользователю нужно лишь создать подключение к сети и ввести там свой логин и пароль. В этом случае компьютеру будет присвоен динамический IP, который через время изменится на другой. И в этот момент пользователь не догадывается, что служба DHCP уже вовсю работает на его компьютере, и позволяет провайдеру предоставить ему любой IP.
Для настройки DHCP сервера в операционной системе Windows нужно зайти в “Центр управления сетями и общим доступом” и выбрать пункт “Изменение параметров адаптера”. В открывшемся окне нужно найти сетевую карту и в контекстном меню выбрать пункт “Свойства”, в новом окне найти пункт “IP версии 4” и нажать на кнопку “Свойства”. В открывшемся окне можно увидеть, что активны настройки получения адреса автоматически.
В случае, если провайдер предоставил вам статический IP, то это означает что для доступа в интернет устройство должно иметь строго тот адрес, который выдал провайдер, для этого в этом же окне нужно указать параметры, выданные провайдером. Проведя соответствующие настройки, вы отключите DHCP на своём компьютере и ему никто не сможет присвоить другой адрес, отличный от того, который был установлен.