翻译 - VMware 虚拟化网络概念

April 4th, 2019

主要由机器翻译的 VMware Infrastructure Architecture Overview

VMware Virtual Networking Concepts

介绍

VMware Infrastructure 3提供了丰富的网络功能，可与复杂的企业网络完美集成。这些网络功能由VMware ESX Server提供，并由VMware VirtualCenter管理。

使用虚拟网络，您可以使用与物理机相同的方式联网虚拟机，并可在单个ESX Server主机或多个ESX Server主机中构建复杂网络，以进行生产部署或开发和测试。

虚拟交换机允许同一ESX Server主机上的虚拟机使用与物理交换机相同的协议相互通信，而无需其他网络硬件。ESX Server虚拟交换机还支持与其他供应商的标准VLAN实施兼容的VLAN。

虚拟机可以配置一个或多个虚拟以太网适配器，每个适配器都有自己的IP地址和MAC地址。因此，从网络角度来看，虚拟机具有与物理机相同的属性。

此外，虚拟网络实现了当今物理网络无法实现的功能。

本指南适用于希望更清楚地了解VMware Infrastructure 3中网络功能的基本设计以及该设计如何影响数据中心部署的VMware Infrastructure 3用户。

VMware Infrastructure网络组件

VMware Infrastructure 3网络堆栈采用模块化设计，可实现最大的灵活性。

Virtual Infrastructure 3提供的关键虚拟网络组件是虚拟以太网适配器，由各个虚拟机和虚拟交换机使用，它们将虚拟机相互连接，并将虚拟机和ESX Server服务控制台连接到外部网络，如图1。

以下各节提供了有关每个组件的更多详细信息。

图1 - ESX Server 3中的虚拟交换机将虚拟机和服务控制台相互连接并连接到外部网络。

附: 网络概念概述

物理以太网交换机: 管理物理网络上计算机之间的网络流量。一台交换机可具有多个端口，每个端口都可与网络上的一台计算机或其他交换机连接。可按某种方式对每个端口的行为进行配置，具体取决于其所连接的计算机的需求。交换机将会了解到连接其端口的主机，并使用该信息向正确的物理机转发流量。交换机是物理网络的核心。可将多个交换机连接在一起，以形成较大的网络。

vSphere 标准交换机: 其运行方式与物理以太网交换机十分相似。它检测与其虚拟端口进行逻辑连接的虚拟机，并使用该信息向正确的虚拟机转发流量。可使用物理以太网适配器（也称为上行链路适配器）将虚拟网络连接至物理网络，以将 vSphere 标准交换机连接到物理交换机。此类型的连接类似于将物理交换机连接在一起以创建较大型的网络。即使 vSphere 标准交换机的运行方式与物理交换机十分相似，但它不具备物理交换机所拥有的一些高级功能。

标准端口组: 标准端口组为每个成员端口指定了诸如带宽限制和 VLAN 标记策略之类的端口配置选项。网络服务通过端口组连接到标准交换机。端口组定义通过交换机连接网络的方式。通常，单个标准交换机与一个或多个端口组关联。

vSphere Distributed Switch: 它可充当数据中心中所有关联主机的单一交换机，以提供虚拟网络的集中式置备、管理以及监控。您可以在 vCenter Server 系统上配置 vSphere Distributed Switch，该配置将传播至与该交换机关联的所有主机。这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致。

主机代理交换机: 驻留在与 vSphere Distributed Switch 关联的每个主机上的隐藏标准交换机。主机代理交换机会将 vSphere Distributed Switch 上设置的网络配置复制到特定主机。

分布式端口: 连接到主机的 VMkernel 或虚拟机的网络适配器的 vSphere Distributed Switch 上的一个端口。

分布式端口组: 与 vSphere Distributed Switch 关联的一个端口组，并为每个成员端口指定端口配置选项。分布式端口组可定义通过 vSphere Distributed Switch 连接到网络的方式。

网卡绑定: 当多个上行链路适配器与单个交换机相关联以形成小组时，就会发生网卡绑定。小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员，或在出现硬件故障或网络中断时提供被动故障切换。

VLAN: VLAN 可用于将单个物理 LAN 分段进一步分段，以便使端口组中的端口互相隔离，如同位于不同物理分段上一样。标准是 802.1Q。

VMkernel TCP/IP 网络层: VMkernel 网络层提供与主机的连接，并处理 vSphere vMotion、IP 存储、Fault Tolerance 和 vSAN 的标准基础架构流量。

虚拟以太网适配器的工作原理

在讨论VMware Infrastructure 3时，您可能会看到对多达五个不同虚拟网络适配器的引用。其中三个是虚拟机使用的虚拟以太网适配器。在大多数情况下，虚拟机仅使用三种类型的虚拟适配器中的一种。可用于虚拟机的三种类型的适配器是：

vmxnet - 半虚拟化设备，仅在客户机操作系统中安装VMware Tools时才有效。半虚拟化设备是在虚拟化环境中运行的具有特定反应的设备。vmxnet适配器专为高性能而设计。在大多数情况下，当您选择灵活的网络适配器时，这是在客户操作系统中安装VMware Tools后使用的适配器。
vlance - 提供严格模拟AMD Lance PCNet32以太网适配器的虚拟设备。它与大多数32位客户机操作系统兼容。选择灵活网络适配器但未在客户机操作系统中安装VMware Tools时，将使用此适配器。
e1000 - 一种虚拟设备，可提供对英特尔E1000以太网适配器的严格仿真。这是64位虚拟机中使用的虚拟以太网适配器。它也可用于32位虚拟机。

其他虚拟网络适配器是：

vswif - 类似于vmxnet的半虚拟化设备，仅供ESX Server服务控制台使用。
vmknic - VMkernel中的虚拟设备，VMkernel是管理ESX Server主机上大多数物理资源的软件层。vmknic由TCP / IP堆栈使用，该堆栈为在VMkernel级别运行的VMotion，NFS和软件iSCSI客户端以及远程控制台流量提供服务。

所有五个虚拟网络设备都具有以下特征：

他们有自己的MAC地址和单播/多播/广播过滤器。
它们是严格的二层以太网适配器设备。

注意：物理网络中的速度和双工设置与虚拟网络无关，因为所有数据传输几乎立即发生在主机系统的RAM中，不会发生冲突或其他与信号相关的错误。

虚拟交换机的工作原理

虚拟交换机是VMware Infrastructure 3中的关键网络组件。您可以在每个ESX Server 3主机上最多创建248个虚拟交换机。

虚拟交换机是在运行时, 从一组小功能单元订制的。一些关键的功能单元是：

核心二层转发引擎。对于性能和正确性这都是系统的关键部分，在Virtual Infrastructure 3中被简化，只处理二层以太网报头。它完全独立于其他实现细节，例如物理以太网适配器的差异和虚拟以太网适配器中的仿真差异。
VLAN标记，剥离和过滤单元。
二层安全性，校验和和分段卸载单元。这种模块化方法已成为未来发展中应遵循的基本原则。

在运行时构建虚拟交换机时，ESX Server 3仅加载所需组件。它仅安装和运行支持配置中使用的特定物理和虚拟以太网适配器类型所需的实际内容。这意味着系统在复杂性和系统性能要求方面支付尽可能低的成本。

ESX Server 3的设计支持在现场临时加载某些组件 - 例如，可用于运行设计合理的诊断实用程序的功能。模块化设计的另一个好处是，VMware和第三方开发人员可以轻松地合并模块，以便在将来增强系统。

在许多方面，ESX Server虚拟交换机与物理交换机类似。在一些值得注意的方面，它们是不同的。了解这些相似点和不同点将有助于您规划虚拟网络的配置及其与物理网络的连接。

虚拟交换机与物理交换机相似之处

ESX Server 3中实现的虚拟交换机的工作方式与现代以太网交换机的工作方式大致相同。

它维护 MAC:port 转发表并执行以下功能：

到达时查看每个帧的目标MAC。
将帧转发到一个或多个端口以进行传输。
避免不必要的投送（换句话说，它不是hub）。

ESX Server 3虚拟交换机支持端口级别的VLAN分段。这意味着可以通过以下任一方式配置每个端口：

通过访问单个VLAN，使其成为物理交换机中的access port，ESX Server术语叫virtual switch tagging
通过访问多个VLAN并保持标签不变，使其成为物理交换机中的trunk port，ESX Server术语叫virtual guest tagging

有关这些选项的更多信息，请参阅第7页的“VMware Infrastructure中的VLAN”一节。

ESX Server 3虚拟交换机支持将数据包复制到mirror port。通过使用所谓的混杂模式，ESX Server使虚拟交换机端口充当SPAN port或mirror port。此功能可以使用嗅探器进行调试或运行IDS等监视应用程序。

此外，管理员可以使用Virtual Infrastructure Client为整个交换机和各个端口管理许多配置选项。

虚拟交换机与物理交换机不同之处

ESX Server提供来自虚拟以太网适配器的直接通道，用于配置信息，如权威MAC过滤器更新。因此，无需学习单播地址或执行IGMP监听来学习组播组成员资格。

当虚拟以太网适配器的混杂位置位时，虚拟交换机上的端口可能会自动进入镜像模式 - 如果虚拟交换机和端口组策略允许的话。

不需要Spanning Tree Protocol

VMware Infrastructure 3强制实施单层网络拓扑。换句话说，没有办法互连多个虚拟交换机，因此网络不能配置为引入环路。因此，不需要也不存在Spanning Tree Protocol（STP）。

注意：通过一些努力，实际上可以引入具有虚拟交换机的循环。但是要执行此操作，必须在具有连接到同一子网的两个虚拟以太网适配器的guest虚拟机中运行二层桥接软件。这很难意外地进行，并且在典型配置中没有理由这样做。

附: 生成树协议 Spanning Tree Protocol, STP

生成树协议（Spanning Tree Protocol，STP）是交换式以太网中的重要概念和技术，该协议的目的是在实现交换机之间的冗余连接的同时，避免网络环路的出现，实现网络的高可靠性。它通过在交换机之间传递桥接协议数据单元（Bridge Protocol Data Unit，BPDU）来互相告知诸如交换机的桥ID、链路性质、根桥（Root Bridge）ID等信息，以确定根桥，决定哪些端口处于转发状态，哪些端口处于阻断状态，以免引起网络环路.

当交换机之间有多个VLAN时Trunk线路负载会过重，这时需要设置多个Trunk端口，但这样会形成网络环路。STP协议便可以解决这一问题.

可以通过配置STP端口权值STP路径值来实现负载均衡. 如果使用STP端口权值来配置那么二条负载均衡的trunk必须联同一交换机上。使用路径值则即可以联相同的交换机与可以联不同的交换机。

虚拟交换机隔离

网络流量无法直接从一个虚拟交换机流向同一主机内的另一个虚拟交换机。虚拟交换机在一台交换机中提供您需要的所有端口，从而带来以下好处：

由于无需级联虚拟交换机，因此Virtual Infrastructure 3不提供连接虚拟交换机的功能。
由于无法连接虚拟交换机，因此无需防止错误的虚拟交换机连接。
由于虚拟交换机无法共享物理以太网适配器，因此无法欺骗以太网适配器进行环回或类似配置，从而导致虚拟交换机之间发生泄漏。

此外，每个虚拟交换机都有自己的转发表，并且没有机制允许一个表中的条目指向另一个虚拟交换机上的端口。换句话说，即使其他虚拟交换机的查找表包含该地址的条目，交换机查找的每个目标也只能匹配与该帧发起的端口相同的虚拟交换机上的端口。

潜在攻击者不太可能绕过虚拟交换机隔离，因为只有在vmkernel中存在严重的未知安全漏洞时才有可能。由于ESX Server解析的帧数据非常少 - 主要是以太网报头 - 这很难，而且一旦攻击者有这样的访问权限，就可以获得比破坏虚拟交换机隔离更丰富的目标。

这种隔离有自然的限制。如果将两个虚拟交换机的上行链路连接在一起，或者使用在虚拟机中运行的软件桥接两个虚拟交换机，则可以打开您在物理交换机中可能遇到的相同类型问题的大门。

虚拟端口

虚拟交换机上的端口提供虚拟设备之间以及虚拟和物理设备之间的逻辑连接点。您可以将它们视为虚拟RJ-45连接器。每个虚拟交换机最多可以有1016个虚拟端口，主机上所有虚拟交换机上的端口限制为4096个。

ESX Server中的虚拟端口提供了丰富的控制通道，用于与连接到它们的虚拟以太网适配器进行通信。ESX Server虚拟端口：

以权威方式了解配置的接收过滤器对于连接到它们的虚拟以太网适配器的用途。这意味着不需要MAC学习来填充转发表。
与物理交换机不同，权威地了解连接到它们的虚拟以太网适配器的“硬”配置。此功能可以设置“guest虚拟机无法更改MAC地址”等策略，因为虚拟交换机端口基本上可以确定什么是“烧入ROM”（实际上，存储在配置文件中，外部控制的客户操作系统）。

Uplink Ports

上行链路端口是与物理适配器关联的端口，提供虚拟网络和物理网络之间的连接。物理适配器在由设备驱动程序初始化时或在重新配置虚拟交换机的组合策略时连接到上行链路端口。

某些虚拟交换机不应连接到物理网络，因此没有上行链路端口，如图2所示。例如，对于提供防火墙虚拟机与受其保护的虚拟机之间的连接的虚拟交换机就是这种情况。

当您启动配置了适配器的虚拟机，执行显式操作以连接设备或使用VMotion迁移虚拟机时，虚拟以太网适配器将连接到虚拟端口。

虚拟以太网适配器在初始化时以及每当更改时使用MAC过滤信息更新虚拟交换机端口。

虚拟端口可能会忽略来自虚拟以太网适配器的任何违反对端口有效的二层安全策略的请求。例如，如果阻止MAC欺骗，端口将丢弃任何违反此规则的数据包。

端口组

与VMware Infrastructure虚拟网络中的重要性一样，端口组与物理网络中常见的功能并不完全对应。最接近的对应物是某些思科交换机提供的SmartPort功能。您可以将端口组视为用于创建具有特定规范集的虚拟端口的模板。您可以在单个主机上最多创建512个端口组。

图2 - ESX Server 3中的虚拟交换机可以配置上行链路端口或没有上行链路端口。

端口组对VMotion尤为重要。要了解原因，请考虑当虚拟机使用VMotion迁移到新主机时会发生什么。

端口组可以指定给定虚拟机在其可能运行的每个主机上应具有特定类型的连接。

端口组是用户命名的对象，包含足够的配置信息，以便为虚拟以太网适配器提供持久且一致的网络访问：

虚拟交换机名称
用于标记和过滤的VLAN ID和策略
团队合作政策
二层安全选项
流量整形参数

简而言之，端口组定义捕获交换机端口的所有设置。然后，当您要将虚拟机连接到特定类型的端口时，只需指定具有适当定义的端口组的名称即可。

端口组可以在不同的主机上指定不同的主机级参数 - 例如，组合配置。但关键因素是结果是连接到该端口组的虚拟机的网络一致视图，无论哪台主机正在运行它。

注意：端口组不一定与VLAN组一一对应。将相同的VLAN ID分配给多个端口组是可能的，甚至是合理的。例如，如果您希望在NIC组中为不同的虚拟机组提供不同的物理以太网适配器以供主动使用和备用，而所有适配器都在同一VLAN上，则此功能非常有用。

Uplinks

物理以太网适配器充当虚拟和物理网络之间的桥梁。在VMware Infrastructure中，它们称为上行链路，连接到它们的虚拟端口称为上行链路端口。单个主机可以具有最多32个上行链路，其可以在一个交换机上或分布在多个交换机中。

为了使虚拟交换机能够访问多个VLAN，其上行链路所连接的物理交换机端口必须处于中继模式。修剪VLAN非常重要，只保留虚拟交换机所需的VLAN。如果不这样做，可能会导致ESX Server主机上出现不必要的开销，因为它必须处理中继到它的所有VLAN的广播流量。

您应该在物理交换机级别修剪VLAN，但是在物理交换机上进行修剪不能像在上行链路上修剪那样激进，因为虚拟交换机知道哪些虚拟机实际上已启动。因此，虚拟交换机可能能够修剪所需的但在您修剪时未使用的VLAN。

您可以为共享同一组物理适配器的不同虚拟机组指定不同的组合行为。例如，您可以跨组端口组更改组中每个适配器的活动/备用状态，以获得良好的链路聚合和故障转移行为。有关组合的更多信息，请参阅第8页的NIC组合。

为每个端口组维护组合状态 - 物理以太网适配器实际传输数据。组合状态转换对虚拟以太网适配器大多是透明的。虚拟机无法判断何时发生故障转移或哪个物理适配器携带任何给定帧。当转换删除或恢复对物理网络的实际访问时 - 也就是说，当最后一个链接关闭或第一个链接出现时 - 网络可见性更改对于访客来说是显而易见的。

虚拟交换机不需要上行链路来本地转发流量。即使没有上行链路，同一虚拟交换机上的虚拟以太网适配器也可以相互通信。如果存在上行链路，则它们不用于虚拟交换机内的本地通信。

配置VLAN时，端口必须位于同一VLAN上才能相互通信。虚拟交换机不允许流量从一个VLAN传递到另一个VLAN。VLAN之间的通信与虚拟交换机之间的通信相同 - 不允许。如果确实需要两个VLAN或两个虚拟交换机之间的通信，则必须配置外部网桥或路由器以转发帧。

虚拟交换机正确性

两个正确性问题尤为重要。

确保网络上的虚拟机或其他节点不会影响虚拟交换机的行为非常重要。ESX Server通过以下方式防范此类影响：

虚拟交换机不会从网络中学习以填充其转发表。这消除了拒绝服务或泄漏攻击的可能向量，或者作为直接拒绝服务尝试，或者更可能是作为其他攻击（例如蠕虫或病毒）的副作用，因为它扫描易受感染的主机以感染。
虚拟交换机为用于转发或过滤决策的任何帧数据制作私有副本。这是虚拟交换机的关键功能，是虚拟交换机所独有的。虚拟交换机不会复制整个帧，因为这样做效率很低，但是一旦将帧传递到虚拟交换机，ESX Server必须确保客户机操作系统无法访问任何敏感数据。

ESX Server确保帧包含在虚拟交换机上的相应VLAN中。它通过以下方式实现：

VLAN数据在通过虚拟交换机时在帧外传输。过滤是一个简单的整数比较。这实际上只是系统不应该信任用户可访问数据的一般原则的特例。
虚拟交换机没有动态中继支持。动态中继和本机VLAN是攻击者可能发现可能导致隔离泄漏的漏洞的功能。这并不是说这些功能本质上是不安全的，但即使它们被安全地实现，它们的复杂性也可能导致配置错误并打开攻击媒介。

VMware Infrastructure中的VLAN

VLAN提供stations或交换机端口的逻辑分组，并允许通信，就像所有站或端口都在同一物理LAN网段上一样。将广播流量限制到交换机端口或最终用户的子集可以节省大量的网络带宽和处理器时间。

为了支持VMware Infrastructure用户的VLAN，虚拟或物理网络上的一个元素必须使用802.1Q标记标记以太网帧，如图3所示。有三种不同的配置模式可用于标记（和取消标记）虚拟机帧的数据包。

虚拟交换机标记（VST模式） - 这是最常见的配置。在此模式下，您在虚拟交换机上为每个VLAN配置一个端口组，然后将虚拟机的虚拟适配器直接连接到端口组而不是虚拟交换机。虚拟交换机端口组标记所有出站帧，并删除所有入站帧的标记。它还确保一个VLAN上的帧不会泄漏到不同的VLAN中。使用此模式要求物理交换机提供中继。图3 - 由802.1Q VLAN中继驱动程序标记的数据包的标头
虚拟机客户机标记（VGT模式） - 您可以在虚拟机内部安装802.1Q VLAN中继驱动程序，并且当帧从虚拟交换机传递到虚拟交换机时，将在虚拟机网络堆栈和外部交换机之间保留标记。以这种方式标记的数据包标头的格式如图3所示。使用此模式要求物理交换机提供中继。
外部交换机标记（EST模式） - 您可以使用外部交换机进行VLAN标记。这与物理网络类似，VLAN配置通常对每个物理服务器都是透明的。在这些环境中无需提供中继线。

有关将VLAN与VMware Infrastructure配合使用的详细信息，请参阅VMTN网站 (http://www.vmware.com/vmtn/) 上提供的名为VMware ESX Server 3 802.1Q VLAN解决方案的白皮书。

NIC Teaming

您可以使用名为NIC teaming的VMware Infrastructure功能将单个虚拟交换机连接到多个物理以太网适配器。团队可以在其部分或全部成员之间共享物理和虚拟网络之间的流量负载，并在发生硬件故障或网络中断时提供被动故障转移。您可以在端口组级别设置NIC绑定策略。

注意：同一team中的所有物理交换机端口必须位于同一个二层广播域中。

负载均衡

负载平衡允许您将来自虚拟交换机上的虚拟机的网络流量分布在两个或多个物理以太网适配器上，从而提供比单个物理适配器所能提供的更高的吞吐量。设置NIC绑定策略时，您可以使用以下选项进行负载平衡：

基于原始虚拟交换机端口ID进行路由

根据流量进入虚拟交换机的虚拟端口选择上行链路。这是默认配置，也是最常配置的配置。使用此设置时，来自给定虚拟以太网适配器的流量始终发送到同一物理适配器，除非故障转移到NIC组中的另一个适配器。在物理交换机获知端口关联的同一物理适配器上收到回复。

如果虚拟以太网适配器的数量大于物理适配器的数量，则此设置可提供均匀的流量分配。

除非具有多个虚拟适配器，否则给定的虚拟机在任何给定时间都不能使用多个物理以太网适配器。

此设置在ESX Server主机上的负载略低于MAC哈希设置。

注意：如果选择srcPortID或srcMAC哈希，则不应将物理交换机端口配置为任何类型的团队或绑定组。
基于源MAC哈希的路由

根据源以太网MAC地址的哈希值选择上行链路。使用此设置时，来自给定虚拟以太网适配器的流量始终发送到同一物理适配器，除非故障转移到NIC组中的另一个适配器。

在物理交换机获知端口关联的同一物理适配器上收到回复。

如果虚拟以太网适配器的数量大于物理适配器的数量，则此设置可提供均匀的流量分配。

给定的虚拟机在任何给定时间都不能使用多个物理以太网适配器，除非它为其发送的流量使用多个源MAC地址。
基于IP哈希的路由根据每个数据包的源和目标IP地址的哈希值选择上行链路。（对于非IP数据包，使用这些偏移量来计算散列值。）

流量分配的均匀性取决于到唯一目的地的TCP / IP会话的数量。单对主机之间的批量传输没有任何好处。

您可以使用链接聚合 - 对多个物理适配器进行分组，以便为虚拟机中的单个虚拟适配器创建快速网络管道。

将系统配置为使用链路聚合时，将阻止数据包反射，因为聚合端口不会重新传输广播或多播流量。

物理交换机在多个端口上查看客户端MAC地址。无法预测哪个物理以太网适配器将接收入站流量。

NIC组中的所有适配器必须连接到同一物理交换机或一组适当的堆叠物理交换机。（请联系您的交换机供应商，了解多个堆叠机箱是否支持802.3ad组合。）该交换机或堆叠交换机组必须符合802.3ad标准，并配置为在静态模式下使用该链路聚合标准（即，没有LACP）。所有适配器必须处于活动状您应该在虚拟交换机上进行设置，并确保该虚拟交换机中的所有端口组都继承该设置。

故障转移配置

配置网络故障转移检测时，请指定以下哪种方法用于故障转移检测：

仅限链接状态 - 仅依赖于网络适配器提供的链接状态。这可以检测到故障，例如电缆拉线和物理交换机电源故障，但无法检测到配置错误，例如物理交换机端口被生成树阻塞或配置错误的VLAN或物理交换机另一侧的电缆拉线。
Beacon Probing - 发送并侦听信标探测 - 物理适配器发送的以太网广播帧，用于检测上游网络连接故障 - 在团队中的所有物理以太网适配器上，如图4所示。除了链接之外，它还使用此信息状态，以确定链接失败。这可以检测上面提到的许多单独链路状态未检测到的故障，但是信标探测不应该用作强大的冗余第2层网络设计的替代。信标探测对于检测最近到ESX Server主机的交换机中的故障非常有用，其中故障不会导致主机发生链路故障事件。

默认情况下，NIC teaming 应用故障恢复策略。也就是说，如果发生故障的物理以太网适配器重新联机，则适配器立即返回到当前工作状态，从而取代接管其插槽的备用适配器。滚动故障转移设置为否时，此策略生效。

如果主物理适配器遇到间歇性故障，则此设置可能导致使用中的适配器频繁更改。因此，物理交换机可以看到MAC地址的频繁变化，并且当特定适配器联机时，物理交换机端口可能不会立即接受流量。要最小化延迟，请在物理交换机上禁用以下内容：

Spanning tree protocol (STP) - 在连接到ESX Server主机的物理网络接口上禁用STP。对于基于Cisco的网络，为接入接口启用端口快速模式或为中继接口启用portfast中继模式（在物理交换机端口初始化期间保存约30秒）。
必须禁用Etherchannel协商，例如PAgP或LACP，因为它们不受支持。
中继协商（节省大约四秒钟）。

另一种方法是将Rolling Failover设置为Yes。使用此设置，即使在恢复之后，发生故障的适配器仍处于非活动状态，直到另一个当前活动的适配器发生故障。使用“故障转移顺序”策略设置，指定如何在主机上分配物理以太网适配器的工作负载。您可以将一些适配器置于活动状态; 指定第二组作为备用适配器，用于故障转移情况; 并将其他适配器指定为未使用，从NIC组合中排除它们。

图4 - 使用信标检测上游网络连接故障。

使用“通知交换机”策略设置，可以确定ESX Server在发生故障转移时如何与物理交换机通信。如果选择“是”，则只要虚拟以太网适配器连接到虚拟交换机，或者虚拟以太网适配器的流量由于故障转移事件而在团队中的其他物理以太网适配器上路由，就会通过网络发送通知更新物理交换机上的查找表。在几乎所有情况下，这对于发生故障转移时的最低延迟是可取的。

注意：如果在单播模式下使用Microsoft网络负载平衡，请不要将“通知开关”设置为“是”。NLB在组播模式下运行时没有这样的问题，VMware强烈推荐这种模式。

二层网络安全功能

虚拟交换机能够实施安全策略，以防止虚拟机模拟网络上的其他节点。此功能有三个组件。

默认情况下，对所有虚拟机禁用混杂模式。这可以防止他们看到网络上其他节点的单播流量。
MAC地址更改锁定可防止虚拟机更改自己的单播地址。这也可以防止他们看到网络上其他节点的单播流量，从而阻止了与混杂模式类似但更窄的潜在安全漏洞。
伪造的传输阻止，当您启用它时，可防止虚拟机发送看似来自网络上除自身以外的节点的流量

管理虚拟网络

VMware VirtualCenter提供了用于构建和维护虚拟网络基础架构的工具，如图5所示。

您可以使用VirtualCenter添加，删除和修改虚拟交换机，以及使用VLAN和组合配置端口组。

您可以使用VirtualCenter角色功能分配网络管理员管理虚拟网络所需的权限。有关更详细的讨论，请参阅http://www.vmware.com/vmtn/resources/826上的“管理VMware VirtualCenter角色和权限”一文。

图5 - 使用VMware VirtualCenter管理虚拟网络

附录：虚拟设备最大值

下表总结了可使用VMware Infrastructure 3配置的各种虚拟和物理网络设备的最大数量（对于ESX Server 3.0和ESX Server 3.0.1是准确的）。

设备	允许的最大值
每个虚拟机的虚拟以太网适配器	4
每台主机的虚拟交换机端口	4096
每台交换机的虚拟交换机端口	1016
每台主机虚拟交换机	248
每个虚拟交换机的上行链路	32
每个主机的上行链路	32
每台主机的虚拟交换机端口组	512
每台主机的物理e1000以太网适配器	32（已测试的最大值）
每台主机的物理Broadcom以太网适配器	20（已测试的最大值）
每台主机的物理e100以太网适配器	26（已测试的最大值）

vSphere (4)

WarmGrid

Answerers: April and Probe