Utilisation du filtrage de commutateur virtuel
Vue d’ensemble du filtrage des commutateurs virtuels
Le filtrage de commutateur virtuel est pris en charge dans Windows 8 et versions ultérieures de Windows.
Cette fonctionnalité PAM permet le filtrage sur les champs de l’en-tête MAC, de l’en-tête IP et des ports de protocole supérieur, ainsi que sur les champs spécifiques du commutateur virtuel, tels que le port virtuel (VPort) et l’identificateur de machine virtuelle (ID de machine virtuelle). Ces couches sont appelées par paquet pour tous les paquets qui traversent le commutateur virtuel. Ces couches sont accessibles à partir d’un filtre d’extension de commutateur virtuel, un type de pilote de filtre léger NDIS (LWF).
Un pilote de légende appelle la fonction FwpsvSwitchEventsSubscribe0 pour inscrire les points d’entrée de rappel pour les événements de couche de commutateur virtuel.
Les points d’entrée pour les fonctions de notification de rappel sont spécifiés dans une structure de FWPS_VSWITCH_EVENT_DISPATCH_TABLE0 . Les fonctions de rappel disponibles sont les suivantes :
- FWPS_VSWITCH_FILTER_ENGINE_REORDER_CALLBACK0
- FWPS_VSWITCH_INTERFACE_EVENT_CALLBACK0
- FWPS_VSWITCH_LIFETIME_EVENT_CALLBACK0
- FWPS_VSWITCH_POLICY_EVENT_CALLBACK0
- FWPS_VSWITCH_PORT_EVENT_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_RESTORE_CALLBACK0
- FWPS_VSWITCH_RUNTIME_STATE_SAVE_CALLBACK0
L’énumération FWPS_VSWITCH_EVENT_TYPE définit les valeurs du paramètre eventType des fonctions de notification de commutateur virtuel.
Le pilote de légende doit finalement appeler FwpsvSwitchEventsUnsubscribe0 pour libérer les ressources système.
Si un pilote de légende retourne STATUS_PENDING à partir d’une fonction de notification PAM, PAM retourne STATUS_PENDING au gestionnaire de requêtes OID. Le pilote de légende doit appeler la fonction FwpsvSwitchNotifyComplete0 pour terminer l’opération en attente. Après l’appel FwpsvSwitchNotifyComplete0 , PAM appelle la fonction NdisFOidRequestComplete pour terminer l’OID du commutateur virtuel.
Les rappels ne doivent pas ajouter ou supprimer des filtres PAM de manière synchrone dans le contexte des fonctions de notification. En outre, si la fonction de notification autorise le rappel à retourner STATUS_PENDING et que la légende retourne STATUS_PENDING, la légende ne doit pas ajouter ou supprimer des filtres PAM avant de terminer la notification.
Couche de filtre et champs de commutateur virtuel PAM
Les identificateurs de couche de filtrage au moment de l’exécution pour le filtrage de commutateur virtuel sont les suivants :
- FWPS_LAYER_INGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_EGRESS_VSWITCH_ETHERNET
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_INGRESS_VSWITCH_TRANSPORT_V6
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_LAYER_EGRESS_VSWITCH_TRANSPORT_V6
Les identificateurs de champ de données pour le filtrage des commutateurs virtuels sont les suivants :
- FWPS_FIELDS_EGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_EGRESS_VSWITCH_TRANSPORT_V6
- FWPS_FIELDS_INGRESS_VSWITCH_ETHERNET
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V4
- FWPS_FIELDS_INGRESS_VSWITCH_TRANSPORT_V6
Conseils pour les enregistreurs de légendes de commutateur virtuel PAM
Trafic du port 0
Pour les légendes de commutateur virtuel PAM, le trafic à partir du port 0 (l’ID de port par défaut) est approuvé et ne doit pas être filtré. En effet, en général, le trafic sur le port 0 provient d’autres extensions de la pile de pilotes et est donc traité par le chemin des données comme privilégié et approuvé. Les extensions de commutateur virtuel utilisent avec parcimonie le port 0 dans les situations telles que l’origine d’un paquet de contrôle, qui ne doit pas être filtré et rejeté par les extensions sous-jacentes. Pour plus d’informations sur la mofification du port source du commutateur extensible Hyper-V, consultez Modification des données de port source de commutateur extensible d’un paquet.
Règles de correspondance de légende
Lors de la définition d’une règle de correspondance pour le filtrage, les légendes de commutateur virtuel ne doivent pas utiliser l’adresse MAC comme base de comparaison. Les adresses MAC peuvent changer au moment de l’exécution, et certains ports peuvent générer du trafic à partir de plusieurs adresses MAC. Au lieu de cela, les légendes doivent utiliser une règle de correspondance plus durable, telle que l’ID de carte réseau, qui ne change pas.
Coexistence de la virtualisation des E/S (IOV) et du PAM
LE PAM ne peut pas être activé sur un commutateur IOV et est bloqué par le système d’exploitation si une tentative est effectuée pour l’activer.
Activation ou désactivation du PAM
Les programmes d’installation des légendes de commutateur virtuel PAM ne doivent pas modifier l’état activé pour l’extension PAM ; c’est-à-dire qu’ils ne devraient pas activer ou désactiver le PAM lui-même.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour