Потеряно соединение с сервером вф: Вы исключены системой защиты | Технические проблемы

Вы исключены системой защиты | Технические проблемы | Warface

В большинстве случаев срабатывание системы защиты говорит о том, что игра зафиксировала повреждение собственных компонентов. В этом случае дальнейший игровой процесс невозможен.

Чтобы избежать системных ошибок, автоматическая система защиты прерывает текущую сессию, рекомендуя вам исправить поврежденные компоненты Warface с помощью игрового центра.

Наиболее распространенные причины возникновения:

Отсутствие/повреждение файлов клиента игры.
Изменение памяти клиента.
Модифицирование клиента игры.

Для устранения проблемы необходимо:

Произвести проверку целостности файлов клиента игры.
Для выполнения проверки целостности выполните следующие действия:
1. Запустите Игровой центр (если он ещё не запущен). Перейдите на вкладку Warface.
2. В меню «Управление игрой» выберите пункт «Проверить и исправить файлы установленного клиента игры».
Осуществить проверку диска на наличие ошибок.
1. Нажмите «Пуск».
2. Выберите меню «Выполнить» (или нажмите сочетание клавиш Win+R). В появившемся окне введите cmd и нажмите «ОК».
1. В командной строке необходимо ввести chkdsk C: /f (где С: — буква диска, /f — параметр команды для исправления найденных ошибок).
1. Если выбранный диск является системным, то возникнет следующее сообщение: «Невозможно выполнить команду CHKDSK, так как указанный том используется другим процессом. Следует ли выполнить проверку этого тома при следующей перезагрузке системы? [Y(да)/N(нет)]». Вам нужно написать Y и нажать Enter.
2. Перезагрузите компьютер и дождитесь окончания проверки диска.
Обратите внимание: если клиент игры установлен не на системном диске (например, Windows на C:, а игра на D:), необходимо проверить и этот раздел. В этом случае команда будет выглядеть как chkdsk D: /f.
Произвести «чистый» запуск Windows.
Выполнение действий, описанных ниже, позволит убрать из автозагрузки вашего компьютера все некритичные для запуска операционной системы программы. Это поможет избежать конфликтов с системой защиты.
1. Нажмите «Пуск».
2. Выберите меню «Выполнить». В нём введите msconfig.exe и нажмите «ОК».
3. В появившемся окне «Конфигурация системы» на вкладке «Общие» выберите параметр «Выборочный запуск» и снимите флажок с параметра «Загружать элементы автозагрузки».
4. На вкладке «Службы» поставьте галочку в параметре «Не отображать службы Майкрософт», затем нажмите кнопку «Отключить все».
5. Нажмите «Ок» и перезагрузите компьютер.
6. После перезагрузки компьютера проверьте наличие проблемы.
Чтобы вернуть настройки запуска к исходным, в окне «Конфигурация системы» на вкладке «Общие» выберите параметр «Обычный запуск» .
Произвести дополнительные настройки в Игровом центре
1. Зайдите в настройки Игрового центра.
2. Перейдите на вкладку «Общие».
3. Снимите галочку в пункте «Продолжать раздавать по окончании скачивания».
4. Сохраните настройки, нажав «ОК».
Провести полное сканирование компьютера на наличие вредоносного программного обеспечения

Добавить файлы клиента игры и Игрового центра в исключения антивируса и брандмауэра: инструкция.
Переустановить клиент игры с полностью отключенным антивирусом и попробовать сыграть несколько игр, не включая его.

Если данные действия не помогли, пожалуйста, создайте запрос по данной проблеме. В запросе дополнительно укажите следующую информацию:

дату и время появления ошибки;
имя аккаунта, с которым возникает проблема.

Ошибка при запуске игры | Технические проблемы | Warface

Когда вы запускаете игру, могут возникнуть различиные сообщения об ошибках.

Пример ошибки, возникающей из-за некорректно установленного или отсутствующего сетевого компонента Microsoft Visual C++:

Для решения проблемы с сетевыми компонентами выполните действия, описанные ниже.

Инструкция для 32-разрядных Windows

Необходимо убедиться, что в системе установлены все нужные сетевые компоненты для игры:

Microsoft Visual C++ .
Microsoft .NET Framework

Для настройки компонентов последовательно установите программы по списку:

Microsoft Visual C++ x86
.Net Famework 3.5 (для Windows 7 данный пункт следует пропустить).
.Net Framework 4
.Net Framework 4.5
DirectX

Для настройки компонента .NET Framework 3.5 в Windows 7 выполните следующее:

Зайдите в «Панель управления» вашего компонента.
Перейдите в меню «Программы».
Нажмите на ссылку «Включение или отключение компонентов Windows».
В открывшемся списке отыщите компонент .NET Framework 3.5. и убедитесь, что рядом с ним установлена галочка. Если она не установлена, поставьте её и сохраните изменения, нажав «ОК».

Инструкция для 64-разрядных Windows

Необходимо убедиться, что в системе установлены все нужные сетевые компоненты для игры:

Microsoft Visual C++ .

Microsoft .NET Framework

Для настройки компонента C++ последовательно установите программы по списку:

Microsoft Visual C++ x64
Microsoft Visual C++ x86
.Net Famework 3.5 (для Windows 7 данный пункт следует пропустить).
.Net Framework 4
.Net Framework 4.5 (только для Windows 7 и более новых версий).
DirectX

Для настройки компонента . NET Framework 3.5 в Windows 7 выполните следующее :

Зайдите в «Панель управления» вашего компонента.

Перейдите в меню «Программы».
Нажмите на ссылку «Включение или отключение компонентов Windows».
В открывшемся списке отыщите компонент .NET Framework 3.5. и убедитесь, что рядом с ним установлена галочка. Если она не установлена, поставьте её и сохраните изменения, нажав «ОК».

Для 64-разрядных систем устанавливаются и х64 и х86 компоненты Microsoft Visual C++, для 32-разрядных — только x86.

Чтобы определить разрядность вашей системы, воспользуйтесь информацией с официального сайта.

Возникающая ошибка может выглядеть и иначе.

В этом случае стоит обратить внимание на запущенные в текущий момент

процессы в Windows.

К текущему моменту известно, что проблемы с запуском игры могут возникать при использовании следующих приложений:

Программы-бустеры (Game Booster), которые используются для оптимизации ресурсов вашего компьютера.
Антивирусное программное обеспечение (файрволлы, защитные экраны).
Программы, работающие по принцпипу «overlay» (Overwolf).

Чтобы исключить вероятность возникновения ошибок из-за запущенных процессов, стоит:

На время запуска полностью отключить антивирус и добавить клиент игры в исключения брандмауэра.

Если предложенные выше действия не повлияли на проблему с запуском игры, выполните дополнительные действия.
Они указаны на странице «Не удалось инициализировать игру».

При сохранении проблемы подайте запрос в службу поддержки из данной статьи.

Потеряно соединение с сервером в Варфейс, как исправить вылет

Игры

Многие игроки популярного нынче WarFace сталкиваются с проблемой вылета «Потеряно соединение с сервером». Данную ошибку пишет как после 1-2 минут игры, либо более продолжительной сессии. Периодичность сбоя также вызывает много вопросов, у кого то такая блокировка длится несколько дней, а кто-то через пару часов играет опять. Сегодня мы подробнее расскажем о всех причинах возникновения вылета, а вы узнаете что нужно делать в первую очередь для исправления ошибки.

Причины потери соединения

Итак, причин сбоя может быть множество: битые файлы самого Warface и игрового клиента, низкая скорость данных с вашей стороны, сбитые настройки сети, либо блокировка со стороны роутера. Сразу же оговоримся, в особо упоротых случаях ошибка может быть связана с читами и бану по железу, то есть система находит файлы модификаций и сбрасывает соединение. Мы же рассмотрим варианты с честной игрой, при которой возникает баг.

Ошибка соединения с сервером в Warface

Что делать в первую очередь?

Чаще всего, вылет появляется из-за несоответствия настроек сети на компьютере, либо забитого сетевого кэша. Вам нужно будет сразу же проверить этот момент:

Если имеются какие-либо программы для использования VPN или Proxy — закройте их сразу же. Какими бы не были они скоростными, их подключение нестабильно в принципе.
Отключите весь другой софт, который может забивать ваш канал доступа Сети.
Пробуйте отключить соединение через роутер и подключить ПК/ноутбук напрямую.
Если вы используете Wi-Fi роутер, то откройте его настройки: впишите адрес 192.168.0.1, логин-паролем по умолчанию стоит admin. Далее проследуйте в опцию «Безопасность», где выключите межсетевой экран SPI. Я привел пример для Tp-Link, но в других моделях опция может называться иначе, например в D-Link это пункт «Firewall Settings».
Отключение файрвола в TP-LINK
Там же, в настройках Wi-Fi, откройте пункт «Переадресация», где включите DMZ и пропишите IP вашего компьютера. Отключение SPI — это отключение файрвола роутера, ничего страшного произойти не должно, главное по завершении его активировать.
Подключение узла DMZ
Также обнулите кэш и восстановите Сеть. Для этого необходимо прописать две команды ipconfig /flushdns и netsh winsock reset. Эти команды сбрасывают кэш ваших DNS и проверяют базовые настройки сети. Помните — запускается консоль из под админа.
Сброс настроек сети через Командную Строку в Windows 10

Проверяем настройки в клиенте Варфейс

Вторым вариантом будет проверка файлов через игровой клиент. Данный метод будет не лишним, если ошибка «Потеряно соединение с сервером» появилась после загрузки обновлений Windows, либо апдейтов самого Варфейс. Также вариантом будет вирусная активность и сканирование антивирусом. Вообщем, сделайте следующее:

Запустите клиент «Игровой Центр Mail.Ru» и выберите Warface.
Кликните по стрелочке на кнопке «Играть», где выполните пункт «Проверить и исправить файлы установленного клиента».
После этого справа вверху открываем Настройки — значок шестеренки.
Во вкладке «Скачивание» ограничиваем на минимум скорость скачивания и раздачи — 20 Кб/сек. При запущенной игре следует полностью остановить скачивание. Максимальное число соединений — 50. Да, ваш игровой клиент, подобно пирам-сидам раздает ваши файлы другим нуждающимся.
Ограничивайте на минимум скорость раздачи
Во вкладке «Системные» удалите временные файлы Игрового Центра Mail.Ru, а после все подкрепите перезагрузкой.

Еще решения, если соединение с сервером потеряно

Если ничего не помогает, тогда вам следует проверить еще несколько моментов, которые так или иначе могут влиять на вылеты с ошибкой «Потеряно соединение с сервером»:

1. Обязательно проверьте вашу систему на вирусы. Трояны и черви могут забивать канал и менять DNS, заражать файлы игры, которые потом блокируются античитом или антивирусом. AdwCleaner и Malwarebytes вам в помощь.

Просто подождите некоторое время. Этот пункт вообще нужно выполнять в самом начале.
Обновите драйвера сетевой платы, предварительно деинсталируйте предыдущую версию. Ищите их на официальном ресурсе, ориентируясь по материнке.
Прозвоните провайдеру и уточните, использует ли он технологию NAT. Также поинтересуйтесь, какой у вас IP — динамический или статический. В случае с динамическими соединениями пробуйте полностью отключить роутер, вынув питание, и подождите минут 10. По идее, система должна присвоить вам другой IP.
Пишите в техподдержку, предварительно выполнив сбор данных. Эта функция поможет быстрее разобраться в вашей проблеме и ответить вам по делу.

Мне нравится4Не нравится1

потеряно соединение с сервером (решение)

Влияние программ

Чтобы комфортно играть, нужно всегда закрывать ненужные программы:

Браузер. Браузер с массой открытых вкладок создаёт проблемы при загрузке и соединении с интернетом. Если у пользователя слабый ПК и низкая скорость интернета, то браузер будет слишком перегружать систему во время боя, что будет сказываться на многих факторах, в том числе на скорости интернета.
Антивирус. Перед запуском клиента игры рекомендуется отключать антивирус, поскольку он может замедлить все процессы. Это также может стать причиной для частых потерь связи.
Брандмауэр. Включённый брандмауэр, как внешний, так и внутренний, может блокировать связь при запущенной игре. Нужно отключить все брандмауэры.
Торрент-клиент. Открытый торрент трекер постоянно поддерживает интернет соединение. В новых версиях появилось много рекламы, которая постоянно изображается в активном режиме. Даже без скачивания, торрент-клиент занимает большое количество оперативной памяти и мощи ЦП, что может сказываться на всех функционалах, в том числе на непрерывном соединении.

Перед запуском игры следует закрыть все ненужные программы. Самый быстрый способ это сделать при помощи диспетчера задач. Чтобы его вызвать, нужно одновременно нажать комбинацию кнопок Ctrl+Alt+Delete. В диспетчере будет находиться список запущенных приложений.

Ненужные задачи можно закрывать щелчком правой мыши «снять задачу».

Для проверки соединения необходимо закрыть все лишние программы. Если связь перестанет пропадать, тогда причина кроется среди них. Чтобы понять, какое приложение мешать играть, нужно поочерёдно запускать каждую программу и проверять. Наилучшим способом, чтобы не терять лишнее время, лучше перед запуском клиента закрывать все приложения и программы.

Почему потеряно соединение с Варфейс – возможные причины

Потеря соединения с игрой может возникать в следующих ситуациях:

• проблема возникла в игровом сервере – необходимо дождаться восстановления;
• проблема с вашим интернет-провайдером, операционной системой, мигающей коробкой – понадобиться действовать самим.

Понять причину просто. Если у вас постоянно потеряно соединение с сервером, проблемы на стороне игрока или связанные с Интернетом. Если это случается периодически, причина в самом игровом сервисе.

Потеряно соединение с сервером Warface 2020 – исправление ошибки

1 способ

Настройте брандмауэр Виндовс. Для этого добавляются в исключения приложения Game и GameCenter/MailRu. Делается это так: Game — C:\GamesMailRu\Варфейс\Bin32Release, GameCenter/MailRu — C:\Users\Имя пользователя\AppData\Local\Мейл.ру\GameCenter.

2 способ

Отключите межсетевой экран SPI. Для этого переходите в админ панель Вай-фай и производите отключение. Делается так: URL-адрес — 192.168.0.1, логин — админ, пароль — админ.

3 способ

Закройте программы Прокси и ВПН, если вы ими пользуетесь. Они нередко выдают «соединение прервано».

4 способ

Используйте компьютер или ноутбук напрямую, отключив роутер.

Если ни одно решение не помогло, и дальше пишет, потеряно соединение с сервером Варфейс, убедитесь, что отсутствуют вирусы, обновите драйвера, перейдите на https://games.mail.ru/support/wf#/tickets/submit (техническая поддержка). Удачной игры, без лагов!

Игра перестанет запускаться в случае удаления нужных файлов.

Чаще такие ситуации случаются при удалении модов. Чтобы решить эту проблему, нужно воспользоваться специальным приложением от разработчиков WGCheck.

При запуске оно просканирует все файлы и восстановит клиент.

Читайте далее:

Как удалить Game center World of Tanks

Решение проблемы с долгой загрузкой боя в WOT

Ошибка сервера при получении информации об игроке

Как очистить кэш в World of Tanks

Как защитить аккаунт World of Tanks

Настройка и обзор функций Wargaming.net Game Center

Интернет

Вариантов развития событий довольно много. Предугадать, какой именно исход относится именно к вашей ситуации, сложно. Необходимо «примерить» возможные причины появления ошибки на свою ситуацию.

Первая и основная составляющая большинства проблем — это интернет. Если с ним наблюдаются какие-то неполадки, то у вас появится сообщение в «Варфейс» («Потеряно соединение с сервером»). Исправляется это очень легко — достаточно наладить работу сети.

Обычно внезапное отключение интернета или авария у провайдера на линии способны нарушить ваш игровой процесс и вызвать указанную ошибку. Проблемы с подключением к сети необходимо исключить в первую очередь.

Причины вылетов

Пока что мы можем назвать несколько наиболее вероятных причин таких вылетов и пути их решения:

Слабая система
Устаревшие драйвера
Проблемы с кэшем
Проблемы с сетью

Слабая система

У вас скорее всего один из компонентов компьютера не соответствует необходимым игре условиям, это может быть слабая видеокарта или устаревший процессор. Учите, что компьютер нужно обновлять так что бы не возникало перекосов в производительности, у вас должна быть наиболее сбалансированная система.
Если у вас ноутбуки с гибридными видеокартами, то возможно игра у вас запускается с интегрированного процессор чипа, которые очень слаб и не предназначен для 3Д игр. Сделать так, что бы игры запускались через мощную видеокарту можно в настройках ваших драйверов.

Устаревшие драйвера

Драйвера для различных устройств обновляются очень часто, и зачастую пользователе не успевают их регулярно обновлять, из за этого возникают такие ситуации, что ваша система становится заложником программного обеспечения которое управляет работой видеокарты и других устройств.
Для того что бы постоянно обновлять все свои драйвера можно устанавливать специальные программы которые пакетно обновляют драйвера для всех ваших устройств, такие программы заметно упрощают вам жизнь и должны избавить от многих проблем.

Проблемы с кэшем

Возможно что вылеты связаны с тем, что у вам неправильно откэшировались игровые модели. Если другие способы не помогают, то по пути C:\Users\Username\Saved Games\My Games\Warface найдите папку ModelsCache и удалите ее, делать это лучше вего сразу после очередного вылета игры.

Проблемы с сетью

Одной из причин вылетов игры может быть и не стабильное подключение к internet. Для того что бы убедиться в том что ваше подключение соответствует необходимому минимуму проверьте его качество на сайте speedtest, а так же можно удостовериться в этом с помощью команды ping в консоли.
Так же одной из причин может быть прямое подключение роутера к компьютеру, но прием интернета по wi-fi. Если у вас похожая ситуация, то просто отключите кабель от компьютера и все должно заработать.

Вместо эпилога

Итак, вы прочитали много букв, немало лирических отступлений, и всё ради того, чтобы у вас сложилась объективная картина проблем, с которыми можно столкнуться при выборе формата жёсткого диска для PS3 с целью увеличения доступной памяти.

Краткий итог можно характеризовать следующим образом: не стоит гоняться за дисками, ориентированными на вашу модель игровой консоли. Если нужен терабайтный накопитель – смело покупайте HDD для ноутбука, он обойдётся вам дешевле, желательно со скоростью 7200 об/минуту. Диск меньшего объёма может иметь и 5400 об/минуту, но принцип выбора тот же – любой винчестер для ноутбука, подходящий по параметрам.

Если консоль прошита – здесь возможности вообще не ограничены в плане выбора внешнего жёсткого диска с весьма незначительной потерей производительности. Для оригинальной приставки внешний диск или флешка могут пригодиться для хранения фильмов с последующим их просмотром на большом телевизоре.

Вода без кислорода и красный хлеб: рассказываем, как мы облажались, говоря с иностранцами

Warface. Потеряно соединение с сервером.

Warface. Потеряно соединение с сервером. Такое сообщение возникает, когда установленное соединение между вашим компьютером и сервером игры разрывается. В большинстве случаев это происходит из-за потерь пакетов, которыми обменивается игровой сервер и ваш компьютер. В некоторых случаях на возникновение разрывов соединения влияют сетевые особенности вашего подключения к Интернету.

Сообщение «Потеряно соединение с сервером» означает, что при обмене данных между Вашим компьютером и игровым сервером возникли затруднения. В подавляющем большинстве случаев, причина кроется в некорректной работе или настройке сетевого оборудования.Попробуйте выполнить следующее:1. Перезагрузите сетевое оборудование. Это поможет исключить перегрузку устройства данными. Если после перезагрузки затруднения сохраняются, выключите роутер на несколько минут.2. Если Вы используете беспроводное соединение (Wi-Fi), попробуйте подключиться напрямую, с помощью кабеля (LAN).3. Закройте другие приложения, которые потребляют интернет-ресурсы, например, торренты.

Обращаем Ваше внимание, что 3G и 4G модемы не обеспечивают необходимой стабильности интернет-соединения даже, казалось бы, при хорошей скорости. При их использовании корректная работа игрового клиента не гарантируется

Если Ваш интернет-провайдер использует NAT (Network Address Translation) или Вы используете прокси-соединение, то корректная работа клиента игры, к сожалению, также не гарантируется.

Вам могут помочь рекомендации по настройке роутеров.

Попробуйте выполнить следующие рекомендации:1. Включите функцию DMZ.2. Отключите функцию SPI.3. Обновите прошивку роутера до последней.

1. Включение функции DMZ:1.1. В настройках роутера найдите меню или раздел «DMZ Host». В большинстве моделей это меню находится в разделе «Advanced» ⇒ «Firewall & DMZ».1.2. Включите пункт («Enable») или поставьте галочку напротив «Enable DMZ» и впишите IP Вашего компьютера.На примере маршрутизаторов D-Link: http://www.dlink.ru/ru/faq/69/303.html

2. Отключение функции SPI:2.1. В настройках роутера найдите меню или раздел «SPI mode» или «SPI». Как правило, раздел находится в «Tools» ⇒ «Misc».2.2. В разделе «SPI mode» необходимо убрать галочку или отключить данный режим («Disable»).На примере маршрутизаторов D-Link: http://www.dlink.ru/ru/faq/69/310.html

Если технические особенности Вашего подключения к сети Интернет позволяют подключиться без роутера, воспользуйтесь такой возможностью.via

Модем

Итак, система пишет: потеряно соединение с сервером (в «Варфейсе»). Следует проверить работоспособность вашего модема. Неполадки с данным оборудованием приводят к разрыву интернет-соединения. Как следствие появляется наша сегодняшняя проблема.

Если у вас ежедневно выскакивает сообщение в одно и то же время, можете не волноваться. Современные модемы обычно раз в сутки перезапускаются. Именно в данный период происходит реальный разрыв соединения. Буквально на секунду-две, но этого обычно достаточно. Проблема эта никак не решается. Вы можете самостоятельно перезагрузить роутер в то время, которое вам удобно. Тогда сообщение, которое выдается игрой «Варфейс» («Потеряно соединение с сервером»), не будет беспокоить вас. Вместо этого ежедневный плановый разрыв интернета будет происходить в другое время.

Выяснилось, что роутер неисправен? Единственным способом решить проблему является полная замена оборудования. После того, как вы подключите и настроите новый модем, можно будет не волноваться за появление назойливого сообщения. Оно перестанет вас беспокоить. Правда, не всегда. Бывают ситуации, при которых данная неполадка все равно будет выскакивать время от времени.

Проверяем настройки в клиенте Варфейс

Вторым вариантом будет проверка файлов через игровой клиент. Данный метод будет не лишним, если ошибка “Потеряно соединение с сервером” появилась после загрузки обновлений Windows, либо апдейтов самого Варфейс. Также вариантом будет вирусная активность и сканирование антивирусом. Вообщем, сделайте следующее:

Запустите клиент “Игровой Центр Mail.Ru” и выберите Warface.
Кликните по стрелочке на кнопке “Играть”, где выполните пункт “Проверить и исправить файлы установленного клиента”.
После этого справа вверху открываем Настройки – значок шестеренки.
Во вкладке “Скачивание” ограничиваем на минимум скорость скачивания и раздачи – 20 Кб/сек. При запущенной игре следует полностью остановить скачивание. Максимальное число соединений – 50. Да, ваш игровой клиент, подобно пирам-сидам раздает ваши файлы другим нуждающимся.
Во вкладке “Системные” удалите временные файлы Игрового Центра Mail.Ru, а после все подкрепите перезагрузкой.

потеряно соединение с сервером. Что делать?

Проблемы с играми встречаются у игроков постоянно — то вылеты, то просто баги, то невозможность запустить тот или иной софт. Говоря об online-игрушках, можно выделить еще одну довольно распространенную ошибку — разрыв соединения с сервером. Не самое опасное, но очень раздражающее явление. Как быть, если перед вами выскакивает надпись в игре «Варфейс» «Потеряно соединение с сервером»: Что делать в таком случае? Какие могут быть причины подобного поведения?

Интернет

Модем

Вирусы

У вас вылетает «Варфейс»? «Потеряно соединение с сервером» — вот сообщение, которое выскакивает в данный момент. В редких, крайне редких случаях причиной данному явлению могут послужить самые обычные компьютерные вирусы. Такая зараза способна вывести из строя любой софт. в таком случае и появляются разнообразные ошибки.

Поэтому придется для начала удостовериться в исправности интернета и модема, а затем уже проверять компьютер на вирусы. Тут подойдет любой антивирус. Запустите глубокую проверку и подождите немного. Опасные объекты, которые буду выявлены в конце сканирования, удалите. Но перед этим посредством специальной кнопки «пролечите» их.

Также после всех манипуляций рекомендуется переустановить клиент с игрой «Варфейс». «Потеряно соединение с сервером» — сообщение, которое должно пропасть, если причина крылась в зараженной операционной системе. Только не торопитесь радоваться, ведь бывает так, что оно не исчезает. Более того, даже при отсутствии видимых причин у вас возникает данная проблема снова и снова. Как быть? Что делать? Неужели поиграть не получится?

Сервер

Все относительно. У вас вылетает «Варфейс»? 2 раза запускали уже клиент с игрой и даже больше? Тогда можно посмотреть игровые новости. Не всегда причина разрыва соединения лежит на игроке. Вполне вероятно, что вы ни в чем не виноваты. Ведь игровой сервер тоже способен вызвать нашу сегодняшнюю проблему.

Если проводятся технические работы или вводится обновление, то вам обязательно должны сообщить об этом в игровых новостях. В данный период времени вы не сможете поиграть в «Варфейс»

2 раза вы ее запустить пытались или 32 — неважно. Результат все равно будет нулевым

Восстановление доступа к игре произойдет тогда, когда все работы на сервере подойдут к концу. Кроме того, причиной нашей сегодняшней проблемы может стать очередное игровое обновление. Если в нем есть какие-то ошибки, вполне вероятно, что вы столкнетесь с разрывом соединения с сервером в «Варфейсе». Также подобное явление наблюдается у забаненных игроков. Именно так обозначается невозможность входа в игру.

Потеряно соединение с сервером в Варфейс, как исправить вылет

Многие игроки популярного нынче WarFace сталкиваются с проблемой вылета “Потеряно соединение с сервером”. Данную ошибку пишет как после 1-2 минут игры, либо более продолжительной сессии. Периодичность сбоя также вызывает много вопросов, у кого то такая блокировка длится несколько дней, а кто-то через пару часов играет опять. Сегодня мы подробнее расскажем о всех причинах возникновения вылета, а вы узнаете что нужно делать в первую очередь для исправления ошибки.

Причины потери соединения

Что делать в первую очередь?

Если имеются какие-либо программы для использования VPN или Proxy – закройте их сразу же. Какими бы не были они скоростными, их подключение нестабильно в принципе.
Отключите весь другой софт, который может забивать ваш канал доступа Сети.
Пробуйте отключить соединение через роутер и подключить ПК/ноутбук напрямую.

Если вы используете Wi-Fi роутер, то откройте его настройки: впишите адрес 192.168.0.1, логин-паролем по умолчанию стоит admin. Далее проследуйте в опцию “Безопасность”, где выключите межсетевой экран SPI. Я привел пример для Tp-Link, но в других моделях опция может называться иначе, например в D-Link это пункт “Firewall Settings”.

Отключение файрвола в TP-LINK

Там же, в настройках Wi-Fi, откройте пункт “Переадресация”, где включите DMZ и пропишите IP вашего компьютера. Отключение SPI – это отключение файрвола роутера, ничего страшного произойти не должно, главное по завершении его активировать.

Подключение узла DMZ

Также обнулите кэш и восстановите Сеть. Для этого необходимо прописать две команды ipconfig /flushdns и netsh winsock reset. Эти команды сбрасывают кэш ваших DNS и проверяют базовые настройки сети. Помните – запускается консоль из под админа.

Сброс настроек сети через Командную Строку в Windows 10

Проверяем настройки в клиенте Варфейс

Запустите клиент “Игровой Центр Mail.Ru” и выберите Warface.
Кликните по стрелочке на кнопке “Играть”, где выполните пункт “Проверить и исправить файлы установленного клиента”.
После этого справа вверху открываем Настройки – значок шестеренки.

Во вкладке “Скачивание” ограничиваем на минимум скорость скачивания и раздачи – 20 Кб/сек. При запущенной игре следует полностью остановить скачивание. Максимальное число соединений – 50. Да, ваш игровой клиент, подобно пирам-сидам раздает ваши файлы другим нуждающимся.

Ограничивайте на минимум скорость раздачи

Во вкладке “Системные” удалите временные файлы Игрового Центра Mail.Ru, а после все подкрепите перезагрузкой.

Еще решения, если соединение с сервером потеряно

Если ничего не помогает, тогда вам следует проверить еще несколько моментов, которые так или иначе могут влиять на вылеты с ошибкой “Потеряно соединение с сервером”:

1. Обязательно проверьте вашу систему на вирусы. Трояны и черви могут забивать канал и менять DNS, заражать файлы игры, которые потом блокируются античитом или антивирусом. AdwCleaner и Malwarebytes вам в помощь.

Просто подождите некоторое время. Этот пункт вообще нужно выполнять в самом начале.
Обновите драйвера сетевой платы, предварительно деинсталируйте предыдущую версию. Ищите их на официальном ресурсе, ориентируясь по материнке.
Прозвоните провайдеру и уточните, использует ли он технологию NAT. Также поинтересуйтесь, какой у вас IP – динамический или статический. В случае с динамическими соединениями пробуйте полностью отключить роутер, вынув питание, и подождите минут 10. По идее, система должна присвоить вам другой IP.
Пишите в техподдержку, предварительно выполнив сбор данных. Эта функция поможет быстрее разобраться в вашей проблеме и ответить вам по делу.

https://youtube.com/watch?v=hbVMjmZfy_k

( Пока оценок нет )

Загрузка…

Warface — потеряно соединение с сервером (решение)

Всем привет!

Иногда случается, что в процессе игры Warface игра вылетает, начинаются лаги.

При этом вы видите ошибку: «Потеряно соединение с сервером Варфейс». Это случалось и со мной.

Как исправить ошибку, когда потеряно соединение? Что делать если игра пропадает? Решение есть, и об этом мы сегодня поговорим.

Почему потеряно соединение с Варфейс – возможные причины

Потеря соединения с игрой может возникать в следующих ситуациях:

Потеряно соединение с сервером Warface 2020 – исправление ошибки

1 способ

2 способ

3 способ

Закройте программы Прокси и ВПН, если вы ими пользуетесь. Они нередко выдают «соединение прервано».

4 способ

Используйте компьютер или ноутбук напрямую, отключив роутер.

Потеряно Соединение с Сервером в Warface МГТС

Как у меня решилась проблема ” Связь с сервером потеряна”

В общем дело было так : начиная с выхода игры была эта проблема, многим известная. Делал и проброс портов, инструкция на форуме и брандмауэром шалил – ноль эффекта.
Но не делал одну вещь, которая описана разработчиками https://games.mail.ru/support/aw/#/questions/2662, а конкретно из этого я не сделал операции с msconfig. DMZ- включил, SPI- отключил
Cегодня решил еще похимичить и вот что вышло.

• Первым делом я отключил полностью защиту ( с фаерволом) в своем Nod32(eset smart 8)
А затем отключил службы как указано на ссылке выше.

ВАЖНО. Warface Теряет Соединение с Сервером в МГТС, тариф? (Перед этим пытался подключить соединение напрямую, но не вышло и кабель из подъезда я вставил в другой порт модема! Может и это сыграло свою роль.)

После каждого изменения и сыгранных боев я выходил из игры и включал еще один параметр

• Первым делом включил в ноде фаервол, зашел сыграл два боя: вылетов не было – вышел.
• Вторым делом включил основную защиту и добавил папку с игрой и подпаку с названием игры в ней в список исключений антивируса : сыграл два боя- вылетов нет- вышел из игры.
• Затем я зашел в msconfig и подумал : ” А включу ка я сразу все службы обратно, дабы убедиться, что если игра вылетит, дело точно в этом, а потом уже и по одной включать обратно, чтобы выявить зачинщика.
• Включил все службы, перезагрузил компьютер, начал играть и был ОЧЕНЬ удивлен : за три боя не было вылетов. Сыграл еще 4 боя для уверенности – вылетов не было.

После этого я не стал больше ничего делать и оставил все как есть, за еще несколько боев, больше игра не вылетала.(таблички не было )

Посмотрю что будет дальше. Надеюсь может быть кому-то поможет эта тема.

Если проблема появится, отпишусь здесь и попробую проделать все еще раз, но надеюсь, что больше ее не будет.
Вообще сначала я думал, что это разрабчики, что-то намутили, потому-что за соседним компом у бати вылетов пару боев не было, но потом опять табличка вылезла, но вроде пореже у него стало (хз). Может разрабы правда что- то делают и все что я написал выше просто совпадение, но а вообще не знаю – пробуйте ! Удачи всем

Последний раз редактировалось Punisher1885; 16.09.2015 в 00:16.

Потеряно Соединение с Сервером в Warface МГТС

Нашел решение здесь: games.mail.ru/support/wf#/info/712
Адрес: 192.168.0.1 / 192.168.1.1.

Comments

у меня тепелинк 5 палок вылетает сука

не скачайте лучше антибакхий он поможет с вылетами

лол я тоже из засратова

как войти в аккаунт?в какой аккаунт?

чел а нечего что инеты не у всех твои.

нЕчего, по этому примеру можно ориентироваться у своего провайдера

скачал читы блять

0:20 согласен на 103 процента дауны гниды гадость хатфу

Ем лол как бы написано 2019 а там на рабочем столе 2018 лол

потому -что этот способ будет актуален еще дохуя времени

после разрабов пидо”””разы поставил лайк

Привет тебе подскажы ПОТЕРЯНО СОЕДИНЕНИЕ С СЕРВЕРОМ WARFACE а если у меня просто кабель ттк и нет роутера че мне делать то(((((((((((((((((

За Админов сто пудов )

Я по поставил лайк и подписался только Иза крутой песни ну только я живу в РОССИИ!

С ростелекомом это не работает

А если слабый пк будет вылетать

производительность пк тут вообще не причем

что если у меня атэкс плюс

Уже скоро разработчики переведут Warface с 32-битной системы на 64-битную. Что это значит?

Warface будет лучше работать с ресурсами ПК — это оптимизирует игру.

Разработчики расширят свои возможности по созданию нового глобального контента, чтобы и дальше радовать вас крутыми новинками!

Однако игра перестанет запускаться на х32 (х86) Windows — такие ОС повсеместно признаны устаревшими.

Если вы еще пользуетесь 32-битной операционной системой, рекомендуем срочно обновить ее до 64-разрядной.

Можешь показать как сделать на роутере Tp-link?

простое решение https://youtu.be/dcLsR37Vymg

Согласен насчет разработчиков, мне официально пришло письмо где они отказывают в тех.помощи

Тема: Как у меня решилась проблема – Связь с сервером потеряна

• Первым делом я отключил полностью защиту ( с фаерволом) в своем Nod32(eset smart 8)
А затем отключил службы как указано на ссылке выше. После этого я не стал больше ничего делать и оставил все как есть, за еще несколько боев, больше игра не вылетала.(таблички не было )

В общем дело было так : начиная с выхода игры была эта проблема, многим известная. Делал и проброс портов, инструкция на форуме и брандмауэром шалил – ноль эффекта.
Но не делал одну вещь, которая описана разработчиками https://games.mail.ru/support/aw/#/questions/2662, а конкретно из этого я не сделал операции с msconfig. DMZ- включил, SPI- отключил
Cегодня решил еще похимичить и вот что вышло :

После перезагрузки компьютера начал играть и что я увидел: Сыграл два боя и ни разу вообще даже близко не вылетел ! Сыграв третий бой без вылетов, я поставил себе задачу : Включать по одному из каждых отключенных параметров и в НОДЕ и в МС -конфиге, чтобы выявить какая конкретная “вещь” создает вылеты. • Первым делом включил в ноде фаервол, зашел сыграл два боя: вылетов не было – вышел.
• Вторым делом включил основную защиту и добавил папку с игрой и подпаку с названием игры в ней в список исключений антивируса : сыграл два боя- вылетов нет- вышел из игры.
• Затем я зашел в msconfig и подумал : ” А включу ка я сразу все службы обратно, дабы убедиться, что если игра вылетит, дело точно в этом, а потом уже и по одной включать обратно, чтобы выявить зачинщика.
• Включил все службы, перезагрузил компьютер, начал играть и был ОЧЕНЬ удивлен : за три боя не было вылетов. Сыграл еще 4 боя для уверенности – вылетов не было. ВАЖНО. (Перед этим пытался подключить соединение напрямую, но не вышло и кабель из подъезда я вставил в другой порт модема! Может и это сыграло свою роль.)Если проблема появится, отпишусь здесь и попробую проделать все еще раз, но надеюсь, что больше ее не будет.
Вообще сначала я думал, что это разрабчики, что-то намутили, потому-что за соседним компом у бати вылетов пару боев не было, но потом опять табличка вылезла, но вроде пореже у него стало (хз). Может разрабы правда что- то делают и все что я написал выше просто совпадение, но а вообще не знаю – пробуйте ! Удачи всем

Warface Теряет Соединение с Сервером в МГТС

В случае, если проблема сохраняется, произведите “чистый запуск Windows.
Для этого:
Войдите в систему с учетной записи, обладающей правами администратора.
Нажмите Win+R (Win – клавиша с логотипом Windows в виде флажка).
Наберите в открывшемся окне (без кавычек) “msconfig.exe”.
В появившемся окне “Конфигурация системы на вкладке “Общие выберите параметр “Выборочный запуск и снимите флажок с параметра “Загружать элементы автозагрузки”.
На вкладке “Службы поставьте галочку в параметре “Не отображать службы Майкрософт”, затем нажмите кнопку “Отключить все”.
(После проверки наличия проблемы вы можете вернуть настройки запуска к исходным, выберите пункт “Обычный запуск” ) В данной ситуации вы можете попросить совет у других игроков на нашем форуме: https://wf.mail.ru/forums/. Возможно, некоторые из пользователей уже не испытывают или решили затруднения с соединением при использовании вашего интернет-провайдера.
Старший специалист поддержки пользователей. Затем удалите папку профиля игры (папку профиля игры можно найти в списке, который открывает кнопка (находится рядом с кнопкой “ИГРАТЬ”)). К сожалению, существуют причины, по которым разрывы соединения происходят из-за технических особенностей подключения к сети Интернет. К таким особенностям можно отнести использование прокси-сервера или NAT. Согласно диагностическим файлам, при построении маршрутизации ваш интернет-провайдер использует NAT. При использовании NAT (на стороне провайдера) корректная работа клиента игры не гарантируется. Как служба поддержки, мы можем предложить вам отключить все программы, не являющиеся обязательными для работы Windows, перед запуском игры. Также, пожалуйста, произведите следующие настройки в Игровом центре (значок шестерни находится в правом верхнем углу):
Перейдите на вкладку “Общие”.
Снимите галочку в пункте “Продолжать раздавать по окончании скачивания”.
Нажмите “ОК”. Таким образом вы делаете своему компу статический локальный IP, выводите его в демилитаризованную зону (DMZ), и открываете необходимые порты.
Возможно после этого ваш компьютер станет более уязвим для хакеров, но вы же не Эдвард Сноуден, так то не парьтесь. Приятного вам тайм-киллинга!

Warface вылеты в PVP и PVE

Работа работой, а расслабиться и поиграть я тоже люблю. Не скажу что я заядлый игроман и обычно меня хватает на день или два. Однако пару месяцев назад я нашел неплохую стрелялку, в каком-то смысле похожую на Counter-Strike. Называется WarFace. Играл и все бы ничего, однако внезапно начали случаться сбои во время игры, а именно во время миссий клиент терял соединение с сервером о чем сообщал тремя мониторами с красным крестиком между ними…

Самое интересное, что выкидывало в меню игры, а не из ней и я тут же мог подключиться к игре снова, правда потеряв при этом все накопленные очки и фраги.

Я грешил на плохое соединение, однако ping, tracert и speedtest уверяли что с соединением все ОК. Я забил на WarFace на пару дней, в надежде что пройдет само собой или разработчики подкрутят сервера, однако когда вернулся, проблемы не исчезли.

После некоторого времени потраченного на гугление, я вдруг подумал, а может быть проблема в wifi-роутере?

Тут надо заметить что к моему ПК, подключены два канала связи, первый 1 Гбит/с канал напрямую на сервачок, второй 100 мбит/с к wifi-роутеру, который в свою очередь подключен к сервачку (а сервачок уже выступает в роли шлюза).

Так вот, проверив tracert я обнаружил, что действительно пакеты идут через роутер. Ну, что же канал через роутер, нужен только для того, чтобы можно было зайти в его панель управления, поэтому отключив его я ничего не потеряю. Сказано, сделано. Снова проверяю трассировку к серверам игры (или к сайту, не важно):

и убедился что теперь пакеты идут по каналу который идет напрямую на сервачок, минуя роутер. Запускаю игру и лаги исчезают!!!

Вот так новость, предчувствие не подвело. Погуглив теперь по ключевику «warface настройка роутера«, я попал в ветку форума: «Решение проблемы с вылетами» там советуют добавить свой IP в DMZ:

IP to DMZ

Посмотрел у себя в прошивке DD-WRT, тоже есть подобная штука:

DMZ в DD-WRT

Не знаю насколько это действенное решение — я не стал с ним заморачиваться, меня устроил способ, при котором я просто отключаю интерфейс к роутеру.

Такое решение я принял, т.к. у меня роутер не Dlink, а LinkSys, соответственно причина может быть и в чем-то другом, а на тестирование пока нет времени..

Конечно, так же можно прописать ip серверов, чтобы пакеты ходили через нужную подсеть (для этого можно использовать команду route), но мне пока лень 🙂

ВЫВОД: Если у Вас такие же проблемы и инет к вам идет через wi-fi роутер, а не через провод, первое что советую проверить, это насколько поменяется картинка при подключении проводом напрямую, без роутера.

Если Вам это не помогло и Вы решили проблему другим способом, напишите про это в комментах, помогите другим!

—[добавлено 10.05.2013]—

Визуальная схема того, что я сделал:

Отключение проводного канала к роутеру

Зеленый и синий это провода. Т.е. на ПК заходило два канала, через которые можно получать один и тот же инет от сервачка.

Устранение неполадок Общие проблемы

Вот некоторая информация о том, как преодолеть препятствия, с которыми вы можете столкнуться при использовании расширений Salesforce для VS Code.

Команды SFDX недоступны

Если вы не видите никаких команд SFDX на палитре команд, убедитесь, что вы работаете над проектом Salesforce DX и у вас установлена последняя версия интерфейса командной строки Salesforce.

Убедитесь, что корневой каталог, который вы открыли в VS Code, содержит sfdx-project.json файл. Если вы еще не настраивали проект Salesforce DX, ознакомьтесь с разделом «Настройка проекта» в Руководстве разработчика Salesforce DX .
Обновите интерфейс командной строки Salesforce, как описано в Руководстве по установке Salesforce DX .

Установите версию Java

См .: Конфигурация Java

Установить путь к интерфейсу командной строки Salesforce (Windows)

См. Установка интерфейса командной строки Salesforce. Если после установки интерфейса командной строки Salesforce вы получите сообщение об ошибке «Интерфейс командной строки Salesforce не установлен», скорее всего, интерфейс командной строки Salesforce не добавлен в качестве переменной пути.Чтобы проверить или добавить интерфейс командной строки Salesforce к переменной пути Windows:

Найдите Измените системные переменные среды .
В Свойства системы щелкните Переменные среды .
В разделе Пользовательские переменные дважды щелкните Путь .
Убедитесь, что интерфейс командной строки Salesforce указан как запись. В противном случае нажмите New и вставьте путь, по которому вы установили CLI.Например, C: \ Program Files \ Salesforce CLI \ bin
Щелкните ОК .

Monitor Apex Language Server Output

Apex Language Server — это реализация спецификации Language Server Protocol 3.0. Протокол языкового сервера позволяет инструменту (в данном случае VS Code) взаимодействовать с поставщиком языковой поддержки (сервером). VS Code использует языковой сервер Apex для отображения структуры классов и триггеров Apex, предложений завершения кода и синтаксических ошибок.Чтобы просмотреть всю диагностическую информацию с Apex Language Server, выберите View > Output , затем выберите Apex Language Server в раскрывающемся меню. Диагностическая информация дает вам представление о ходе работы языкового сервера и показывает возникшие проблемы.

Активировать языковой сервер Apex

Если функции Apex недоступны, активируйте языковой сервер Apex. В строке меню VS Code выберите View > Output и выберите Apex Language Server из раскрывающегося списка справа.Если вы не видите запись «Apex Language Server», языковой сервер не активирован.

Если сервер Apex Language Server не активирован, убедитесь, что у вас есть:

Открыт проект Salesforce DX с допустимым файлом sfdx-project.json .
Открыл проект Salesforce DX как папку верхнего уровня.
Установленная Java 8 или Java 11; вы увидите предупреждение, если ни одна из версий не установлена.

Если вы проверили все вышеперечисленное, но ничего не работает, проверьте наличие ошибок в самом VS Code.В строке меню VS Code выберите Help > Toggle Developer Tools , щелкните Console и выполните поиск соответствующих сообщений.

См. Ошибки отладчика

Чтобы увидеть ошибки, сгенерированные отладчиками, добавьте «trace»: «all» в свой файл launch.json . Затем повторно запустите свой сценарий, чтобы просмотреть строки журнала отладчика в консоли отладки VS Code.

Увеличение времени развертывания для кода Apex

Если время развертывания кода Apex велико, ваша организация может иметь для параметра CompileOnDeploy значение true .Дополнительные сведения об этом предпочтении см. В разделе «Развертывание Apex» в руководстве разработчика Apex .

Прочие ресурсы

Для получения информации об устранении неполадок отладчика Apex см. Интерактивный отладчик Apex.

Общие сведения о VS Code см. В документации по Visual Studio Code.

Для получения информации об устранении неполадок интерфейса командной строки Salesforce, который поддерживает большую часть функций Salesforce Extensions для VS Code, см. Устранение неполадок Salesforce DX в Руководстве разработчика Salesforce DX .

Отзыв или ошибки | Редактировать эту статью

SR-IOV — документация Neutron 18.1.0.dev496

Цель этой страницы — описать, как включить функциональность SR-IOV. доступно в OpenStack (с использованием OpenStack Networking). Эта функциональность была впервые представлен в выпуске OpenStack Juno. Эта страница предназначена для использования в качестве руководство по настройке OpenStack Networking и OpenStack Compute для создать порты SR-IOV.

Основы

PCI-SIG Single Root I / O Virtualization and Sharing (SR-IOV) — это функциональность доступен в OpenStack с момента выпуска Juno.Спецификация SR-IOV определяет стандартизированный механизм виртуализации устройств PCIe. Этот механизм может виртуализировать один контроллер Ethernet PCIe, чтобы он выглядел как несколько PCIe устройств. Каждое устройство можно напрямую назначить экземпляру, минуя уровень гипервизора и виртуального коммутатора. В результате пользователи могут достичь низкая задержка и скорость передачи данных, близкая к линии.

В этом документе используются следующие термины:

Срок	Определение
ПФ	Физическая функция.Физический контроллер Ethernet, поддерживающий SR-IOV.
VF	Виртуальная функция. Виртуальное устройство PCIe, созданное из физического Контроллер Ethernet.

Агент SR-IOV

Агент SR-IOV позволяет установить административное состояние портов, настроить порт безопасность (включение и отключение проверки спуфинга) и настройка ограничения скорости QoS и минимальная пропускная способность. Вы должны включить агент SR-IOV на каждый вычислительный узел. с использованием портов SR-IOV.

Примечание

Агент SR-IOV был необязательным до Mitaka и не был включен по умолчанию. до свободы.

Примечание

Добавлена возможность управления безопасностью портов и настройками ограничения скорости QoS. в Либерти.

Поддерживаемые контроллеры Ethernet

Известно, что работают следующие производители:

Intel
Mellanox
QLogic
Broadcom

Для получения информации о картах Mellanox SR-IOV Ethernet ConnectX см .:

Для получения информации о картах QLogic SR-IOV Ethernet см .:

Для получения информации о картах Ethernet Broadcom NetXtreme-E Series см. Руководство пользователя Broadcom NetXtreme-C / NetXtreme-E.

Для получения информации о картах Ethernet Broadcom NetXtreme-S серии см. Страница продукта Broadcom NetXtreme-S.

Использование интерфейсов SR-IOV

Для включения SR-IOV необходимы следующие шаги:

Создание виртуальных функций (вычисление)
Настроить список разрешений для устройств PCI в nova-compute (Compute)
Настроить нейтрон-сервер (Контроллер)
Настроить nova-scheduler (Контроллер)
Включить нейтронный скрип-агент (Вычислить)

Мы рекомендуем использовать сети провайдера VLAN для разделения.Таким образом вы можете объединить экземпляры без портов SR-IOV и экземпляры с портами SR-IOV на единая сеть.

Примечание

В этом руководстве в качестве PF используется eth4 , а в качестве PF — Physnet2 . как сеть провайдера, настроенная как диапазон VLAN. Эти порты могут отличаться разные среды.

Создание виртуальных функций (вычисление)

Создайте VF для сетевого интерфейса, который будет использоваться для SR-IOV. Мы используем eth4 как PF, который также используется в качестве интерфейса для провайдера VLAN сеть и имеет доступ к частным сетям всех машин.

Примечание

В шагах подробно описано, как создать VF с помощью Mellanox ConnectX-4 и новее / Intel Карты Ethernet SR-IOV в системе Intel. Шаги могут отличаться для разных аппаратные конфигурации.

Убедитесь, что в BIOS включены SR-IOV и VT-d.
Включите IOMMU в Linux, добавив intel_iommu = on к параметрам ядра, например, используя GRUB.
На каждом вычислительном узле создайте VF через интерфейс PCI SYS:
```
 # эхо '8'> / sys / class / net / eth4 / device / sriov_numvfs
 
```
Примечание
На некоторых устройствах PCI обратите внимание, что при изменении количества VF вы получить ошибку Устройство или ресурс занят .В этом случае вы должны сначала установите sriov_numvfs на 0 , затем установите новое значение.
Примечание
Сетевой интерфейс может использоваться как для сквозной передачи PCI, с использованием PF, и SR-IOV, используя VF. Если используется PF, номер VF хранится в файл sriov_numvfs потерян. Если PF снова присоединен к операционной системы, количество VF, назначенных этому интерфейсу, будет нуль. Чтобы количество VF всегда было назначено этому интерфейсу, изменить файл конфигурации интерфейсов, добавив сценарий ifup команда.
В Ubuntu измените файл / etc / network / interfaces :
```
 авто eth4
iface eth4 inet dhcp
предварительное эхо '4'> / sys / class / net / eth4 / device / sriov_numvfs
 
```
В RHEL и производных модифицируйте файл / sbin / ifup-local :
```
 #! / Bin / sh
если [["$ 1" == "eth4"]]
потом
    эхо '4'> / sys / class / net / eth4 / device / sriov_numvfs
фи
 
```
Предупреждение
В качестве альтернативы вы можете создать VF, передав max_vfs в модуль ядра вашего сетевого интерфейса.Однако max_vfs устарел, поэтому интерфейс PCI SYS является предпочтительным метод.
Вы можете определить максимальное количество VF, которое может поддерживать PF:
```
 # cat / sys / class / net / eth4 / device / sriov_totalvfs
63
 
```

Убедитесь, что VF созданы и находятся в состоянии вверх . Например:

 # lspci | grep Ethernet
82: 00.0 Контроллер Ethernet: Intel Corporation 82599ES 10-гигабитное сетевое соединение SFI / SFP + (версия 01)
82:00.1 контроллер Ethernet: Intel Corporation 82599ES 10-гигабитное сетевое соединение SFI / SFP + (версия 01)
82: 10.0 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 10.2 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 10.4 Ethernet-контроллер: Виртуальная функция Ethernet-контроллера Intel Corporation 82599 (версия 01)
82: 10.6 Ethernet-контроллер: Виртуальная функция Ethernet-контроллера Intel Corporation 82599 (версия 01)
82: 11.0 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82:11.2 Контроллер Ethernet: Intel Corporation 82599 Виртуальная функция контроллера Ethernet (версия 01)
82: 11.4 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 11.6 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)

 # ip link show eth4
8: eth4:  mtu 1500 qdisc mq state UP mode DEFAULT qlen 1000
   ссылка / эфир a0: 36: 9f: 8f: 3f: b8 brd ff: ff: ff: ff: ff: ff
   vf 0 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 1 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 2 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 3 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 4 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 5 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 6 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 7 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически

Если интерфейсы не работают, установите для них значение до перед запуском гостевой системы, иначе экземпляр не появится:

Сохранять созданные VF при перезагрузке:
```
 # echo "echo '7'> / sys / class / net / eth4 / device / sriov_numvfs" >> / etc / rc.местный
 
```
Примечание
Предлагаемый способ сделать настройки PCI SYS постоянными: инструмент sysfsutils . Однако по умолчанию это недоступно на многие основные дистрибутивы.

Настройка разрешенного списка для устройств PCI nova-compute (Compute)

Настройте, какие устройства PCI может использовать служба nova-compute . Редактировать файл nova.conf :
```
 [pci]
passthrough_whitelist = {"devname": "eth4", "physical_network": "physnet2"}
 
```
Это сообщает службе вычислений, что все VF, принадлежащие eth4 разрешено передавать экземплярам и принадлежать к сети провайдера Physnet2 .
В качестве альтернативы параметр [pci] passthrough_whitelist также поддерживает разрешить устройства по:
- PCI-адрес: для адреса используется тот же синтаксис, что и в lspci и звездочку ( * ) можно использовать для соответствия чему угодно.
```
 [pci]
passthrough_whitelist = {"адрес": "[[[[<домен>]:] <шина>]:] [<слот>] [. [<функция>]]", "физическая_ сеть": "physnet2"}
 
```
  Например, чтобы соответствовать любому домену, шина 0a , слот 00 и все функций:
```
 [pci]
passthrough_whitelist = {"адрес": "*: 0a: 00.* "," physical_network ":" physnet2 "}
 
```
- PCI vendor_id и product_id , как отображается утилитой Linux lspci .
```
 [pci]
passthrough_whitelist = {"vendor_id": "", "product_id": "", "physical_network": "physnet2"}
 
```
Если устройство определено адресом PCI или devname соответствует SR-IOV PF, все VF под PF будут соответствовать записи. Несколько [pci] passthrough_whitelist Поддерживаются записей для каждого хоста.
Чтобы разрешить SR-IOV запрашивать «доверенный режим», [pci] passthrough_whitelist параметр также поддерживает доверенный ярлык.
Примечание
Эта возможность поддерживается только начиная с версии 18.0.0. (Rocky) выпуск вычислительной службы, настроенный на использование драйвер libvirt.
Важно
Включение доверенных портов влияет на безопасность. В доверенные VF могут быть установлены в беспорядочный режим VF, который разрешить ему получать несогласованный и многоадресный трафик, отправленный на физическая функция.
Например, чтобы разрешить пользователям запрашивать устройства SR-IOV с доверенным возможности на устройстве eth4 :
```
 [pci]
passthrough_whitelist = {"devname": "eth4", "physical_network": "physnet2", "trust": "true"}
 
```
Порты должны быть созданы с профилем привязки, чтобы соответствовать доверенный тег , см. Запуск экземпляров с портами SR-IOV.
Перезапустите службу nova-compute , чтобы изменения вступили в силу.

Настроить нейтрон-сервер (Контроллер)

Добавьте sriovnicswitch в качестве драйвера механизма. Отредактируйте файл ml2_conf.ini на каждом контроллере:
```
 [мл2]
механизм_drivers = openvswitch, sriovnicswitch
 
```
Убедитесь, что ваш Physnet настроен для выбранного типа сети. Отредактируйте Файл ml2_conf.ini на каждом контроллере:
```
 [ml2_type_vlan]
network_vlan_ranges = Physnet2
 
```
Добавьте плагин .ini как параметр для нейтронного сервера служба. Отредактируйте соответствующий сценарий инициализации, чтобы настроить нейтрон-сервер сервис для загрузки файла конфигурации плагина:
```
 --config-файл /etc/neutron/neutron.conf
--config-файл /etc/neutron/plugin.ini
 
```
Перезапустите службу нейтронного сервера .

Настроить nova-scheduler (контроллер)

На каждом узле контроллера, на котором запущена служба nova-scheduler , добавьте PciPassthroughFilter с по [filter_scheduler] enabled_filters для включения этот фильтр.Убедитесь, что для [filter_scheduler] available_filters установлено значение по умолчанию nova.scheduler.filters.all_filters :
```
 [filter_scheduler]
enabled_filters = AvailabilityZoneFilter, ComputeFilter, ComputeCapabilitiesFilter, ImagePropertiesFilter, ServerGroupAntiAffinityFilter, ServerGroupAffinityFilter, PciPassthroughFilter
available_filters = nova.scheduler.filters.all_filters
 
```
Перезапустите службу nova-scheduler .

Включить нейтрон-криов-ник-агент (вычислить)

При необходимости установите агент SR-IOV.
Отредактируйте файл sriov_agent.ini на каждом вычислительном узле. Например:
```
 [группа безопасности]
firewall_driver = нейтрон.agent.firewall.NoopFirewallDriver

[sriov_nic]
Physical_device_mappings = physnet2: eth4
exclude_devices =
 
```
Примечание
Параметр physical_device_mappings не ограничивается 1-1 отображение между физическими сетями и сетевыми картами. Это позволяет отображать одна и та же физическая сеть к более чем одной сетевой карте.Например, если Physnet2 подключается к eth4 и eth5 , то Physnet2: eth4, Physnet2: eth5 — допустимый вариант.
Параметр exclude_devices пуст, поэтому все VF связанный с eth4, может быть настроен агентом. Чтобы исключить конкретные VF, добавьте их в параметр exclude_devices следующим образом:
```
 exclude_devices = eth2: 0000: 07: 00.2; 0000: 07: 00.3, eth3: 0000: 05: 00.1; 0000: 05: 00.2
 
```

Убедитесь, что агент SR-IOV успешно работает:

 # нейтрон-криов-ник-агент \
  --config-файл / etc / нейтрон / нейтрон.conf \
  --config-файл /etc/neutron/plugins/ml2/sriov_agent.ini

Включите службу агента нейтронного SR-IOV.
При установке из исходного кода необходимо настроить файл демона для инициализации. систему вручную.

(Необязательно) Расширение агента L2 FDB

Население Forwarding DataBase (FDB) — это расширение агента L2 для агента OVS или Мост Linux. Его цель — обновить таблицу FDB для существующего экземпляра. используя обычный порт. Это обеспечивает связь между экземплярами SR-IOV и нормальные экземпляры.Сценарии использования расширения популяции FDB:

Дополнительную информацию, описывающую проблему, см .: Технологии виртуальной коммутации и мост Linux.

Отредактируйте файл ovs_agent.ini или linuxbridge_agent.ini на каждом вычислении узел. Например:
Добавьте раздел FDB и параметр shared_physical_device_mappings . Этот параметр сопоставляет каждый физический порт с его физическим сетевым именем.Каждый физическая сеть может быть отображена на несколько портов:
```
 [FDB]
shared_physical_device_mappings = Physnet1: p1p1, Physnet1: p1p2
 
```

Запуск инстансов с портами SR-IOV

После завершения настройки вы можете запускать экземпляры с портами SR-IOV.

Если он еще не существует, создайте сеть и подсеть для выбранных физнет. Это сеть, к которой будут подключены порты SR-IOV. Для пример:

 $ openstack network create --provider-physical-network physnet2 \
    --provider-network-type vlan --provider-segment 1000 \
    Шриов-Нет

Создать подсеть $ openstack --network sriov-net \
    --subnet-pool общий-default-subnetpool-v4 \
    Шриов-подсеть

Получите id сети, в которой вы хотите создать порт SR-IOV:

 $ net_id = $ (сеть openstack показывает значение sriov-net -c id -f)

Создайте порт SR-IOV. vnic-type = direct здесь используется, но другие варианты включают нормальный , прямой физический и macvtap :
```
 $ openstack port create --network $ net_id --vnic-type direct \
    Шриов-Порт
 
```
В качестве альтернативы, чтобы запросить, чтобы порт SR-IOV принял доверенные возможности, профиль привязки должен быть расширен с помощью тега доверенного .
```
 $ openstack port create --network $ net_id --vnic-type direct \
    --binding-profile trust = true \
    Шриов-Порт
 
```

Получить id созданного порта:

 $ port_id = $ (порт openstack показывает значение sriov-port -c id -f)

Создайте экземпляр.Укажите порт SR-IOV, созданный на втором шаге, для Сетевая карта:
```
 $ openstack server create --flavor m1.large --image ubuntu_18.04 \
    --nic идентификатор порта = $ идентификатор_порта \
    тест-Шриов
 
```
Примечание
Есть два способа прикрепить VF к экземпляру. Вы можете создать SR-IOV порт или используйте pci_alias в службе вычислений. Для большего информация об использовании pci_alias , см. nova-api конфигурация.

SR-IOV с двумя портами Ethernet ConnectX-3 / ConnectX-3 Pro

В отличие от сетевых адаптеров нового поколения Mellanox, сетевые адаптеры семейства ConnectX-3 имеют один Устройство PCI (PF) в системе независимо от количества физических портов.Когда устройство с двумя портами и SR-IOV включен и настроен, мы можем наблюдать некоторые несоответствия. в сетевой подсистеме Linux.

Примечание

В приведенном ниже примере enp4s0 представляет сетевое устройство PF, связанное с физическим портом 1 и enp4s0d1 представляет сетевое устройство PF, связанное с физическим портом 2.

Пример: Система с двухпортовым устройством ConnectX-3 и настроенными всего четырьмя VF, две VF, назначенные на порт один, и две VF, назначенные на порт два.

 $ lspci | grep Mellanox
04: 00.0 Сетевой контроллер: Семейство Mellanox Technologies MT27520 [ConnectX-3 Pro]
04: 00.1 Сетевой контроллер: Семейство Mellanox Technologies MT27500 / MT27520 [Виртуальная функция ConnectX-3 / ConnectX-3 Pro]
04: 00.2 Сетевой контроллер: Семейство Mellanox Technologies MT27500 / MT27520 [Виртуальная функция ConnectX-3 / ConnectX-3 Pro]
04: 00.3 Сетевой контроллер: Семейство Mellanox Technologies MT27500 / MT27520 [Виртуальная функция ConnectX-3 / ConnectX-3 Pro]
04: 00.4 Сетевой контроллер: Семейство Mellanox Technologies MT27500 / MT27520 [Виртуальная функция ConnectX-3 / ConnectX-3 Pro]

В системе доступны четыре VF, однако

 $ ip ссылка показать
31: enp4s0:  mtu 1500 qdisc noop master ovs-system state Режим DOWN режим DEFAULT группа по умолчанию qlen 1000
    ссылка / эфир f4: 52: 14: 01: d9: e1 brd ff: ff: ff: ff: ff: ff
    vf 0 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 1 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 2 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 3 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
32: enp4s0d1:  mtu 1500 qdisc noop state Режим DOWN режим DEFAULT группа по умолчанию qlen 1000
    ссылка / эфир f4: 52: 14: 01: d9: e2 brd ff: ff: ff: ff: ff: ff
    vf 0 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 1 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 2 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически
    vf 3 MAC 00: 00: 00: 00: 00: 00, vlan 4095, проверка спуфинга отключена, состояние канала автоматически

Команда

ip идентифицирует каждое сетевое устройство, связанное с PF, как имеющее четыре VF каждый .

Примечание

Драйвер Mellanox mlx4 позволяет командам ip выполнять настройку всех VF от сетевых устройств, связанных с PF.

Чтобы позволить нейтронному агенту SR-IOV правильно идентифицировать VF, которые принадлежат правильному сетевому устройству PF (таким образом, к правильному сетевому порту) Администратор должен предоставить параметр конфигурации exclude_devices в sriov_agent.ini

Шаг 1 : получите отображение VF на порт из файла конфигурации драйвера mlx4: / etc / modprobe.d / mlnx.conf или /etc/modprobe.d/mlx4.conf

 $ cat /etc/modprobe.d/mlnx.conf | grep "параметры mlx4_core"
параметры mlx4_core port_type_array = 2,2 num_vfs = 2,2,0 probe_vf = 2,2,0 log_num_mgm_entry_size = -1

Где:

num_vfs = n1, n2, n3 — драйвер активирует n1 VF на физическом порте 1, n2 VFs на физическом порте 2 и n3 двухпортовые VF (применимо только к двухпортовому HCA, когда все порты являются портами Ethernet).

probe_vfs = m1, m2, m3 — драйвер проверяет m1 однопортовые VF на физическом порте 1, м2 однопортовых VF на физическом порте 2 (применяется, только если такой порт существует) м3 двухпортовые VF. Эти VF прикреплены к гипервизору. (применяется только в том случае, если все порты настроены как Ethernet).

VF будут пронумерованы в следующем порядке:

порт 1 VFs
порт 2 VFs
двухпортовые VF

В нашем примере:

04:00.0: PF связан с обоими портами .

04: 00.1: VF, связанный с портом 1

04: 00.2: VF, связанный с портом 1

04: 00.3: VF, связанный с портом 2

04: 00.4: VF, связанный с портом 2

Шаг 2: Обновление параметра конфигурации exclude_devices в sriov_agent.ini с правильным сопоставлением

Каждое сетевое устройство, связанное с PF, должно исключать VF других портов

 [sriov_nic]
Physical_device_mappings = Physnet1: enp4s0, Physnet2: enp4s0d1
exclude_devices = enp4s0: 0000: 04: 00.3; 0000: 04: 00.4, enp4s0d1: 0000: 04: 00.1; 0000: 04: 00.2

SR-IOV с InfiniBand

Поддержка SR-IOV с InfiniBand позволяет виртуальному PCI-устройству (VF) быть напрямую сопоставленным с гостем, что обеспечивает более высокую производительность и расширенные такие функции, как RDMA (удаленный прямой доступ к памяти). Чтобы использовать эту функцию, вы должны:

Используйте сетевые адаптеры с поддержкой InfiniBand.
Запустите диспетчеры подсетей InfiniBand, чтобы включить структуру InfiniBand.
Во всех сетях InfiniBand должен быть запущен менеджер подсети для сети. функционировать.Это верно даже для простой сети из двух машины без переключателя, и карты вставляются спина к спине. А Для появления ссылки на карточках требуется менеджер подсети. Возможно иметь более одного менеджера подсети. В этом случае один из них будет действовать как основной, а любой другой — как резервный, возьмет на себя управление при выходе из строя основного диспетчера подсети.
Установите утилиту ebrctl на вычислительных узлах.
Убедитесь, что ebrctl указан где-то в / etc / nova / rootwrap.д / * :
```
 $ grep 'ebrctl' /etc/nova/rootwrap.d/*
 
```
Если ebrctl не отображается ни в одном из файлов rootwrap, добавьте его в /etc/nova/rootwrap.d/compute.filters в разделе [Фильтры] .
```
 [Фильтры]
ebrctl: CommandFilter, ebrctl, корень
 
```

16.2. Назначение устройств PCI с устройствами SR-IOV Red Hat Enterprise Linux 7

Сетевое устройство PCI (указанное в XML домена элементом ) может быть напрямую подключено к гостю с помощью прямого назначения устройства (иногда называемого сквозной передачей ).Из-за ограничений в конструкции драйвера стандартной однопортовой карты Ethernet PCI, только Single Root I / O Virtualization (SR-IOV) виртуальная функция (VF) устройства могут быть назначены таким образом; чтобы назначить гостю стандартную однопортовую карту PCI или PCIe Ethernet, используйте традиционное определение устройства .


     <устройства>
    <тип интерфейса = 'hostdev'>
      <имя драйвера = 'vfio' />
      <источник>
        <тип адреса = 'pci' domain = '0x0000' bus = '0x00' slot = '0x07' function = '0x0' />
      
      
      <тип виртуального порта = '802.1Qbh '>
        <параметры profileid = 'finance' />

Рисунок 16.9. Пример XML для назначения устройства PCI

Спецификация Single Root I / O Virtualization (SR-IOV), разработанная PCI-SIG (PCI Special Interest Group), является стандартом для типа назначения устройств PCI, которые могут совместно использовать одно устройство для нескольких виртуальных машин. SR-IOV повышает производительность устройств для виртуальных машин.

Рисунок 16.10. Как работает SR-IOV

SR-IOV позволяет функции единого корня (например, один порт Ethernet) отображаться как несколько отдельных физических устройств. Физическое устройство с возможностями SR-IOV можно настроить так, чтобы оно отображалось в пространстве конфигурации PCI как несколько функций. Каждое устройство имеет собственное пространство конфигурации с регистрами базового адреса (BAR).

SR-IOV использует две функции PCI:

Физические функции (PF) — это полные устройства PCIe, которые включают возможности SR-IOV.Физические функции обнаруживаются, управляются и настраиваются как обычные устройства PCI. Физические функции настраивают и управляют функциональностью SR-IOV путем назначения виртуальных функций.
Виртуальные функции (VF) — это простые функции PCIe, которые обрабатывают только операции ввода-вывода. Каждая виртуальная функция является производной от физической функции. Количество виртуальных функций, которые может иметь устройство, ограничено аппаратным обеспечением устройства. Один порт Ethernet, физическое устройство, может отображаться на множество виртуальных функций, которые могут использоваться совместно с виртуальными машинами.

Гипервизор может назначить одну или несколько виртуальных функций виртуальной машине. Затем пространство конфигурации виртуальной функции назначается пространству конфигурации, предоставленному гостю.

Каждую виртуальную функцию можно назначить только одному гостю одновременно, поскольку виртуальные функции требуют реальных аппаратных ресурсов. Виртуальная машина может иметь несколько виртуальных функций. Виртуальная функция отображается как сетевая карта так же, как обычная сетевая карта отображается в операционной системе.

Драйверы SR-IOV реализованы в ядре. Основная реализация содержится в подсистеме PCI, но также должна быть поддержка драйверов как для устройств физических функций (PF), так и для устройств виртуальных функций (VF). Устройство с поддержкой SR-IOV может выделять VF из PF. VF выглядят как устройства PCI, которые поддерживаются на физическом устройстве PCI такими ресурсами, как очереди и наборы регистров.

16.2.1. Преимущества SR-IOV

Устройства SR-IOV могут совместно использовать один физический порт с несколькими виртуальными машинами.

Когда виртуальная машина SR-IOV назначается виртуальной машине, ее можно настроить так (прозрачно для виртуальной машины), чтобы весь сетевой трафик, выходящий из VF, направлялся в конкретную виртуальную локальную сеть. Виртуальная машина не может обнаружить, что ее трафик маркируется для VLAN, и не сможет изменить или устранить эту маркировку.

Виртуальные функции имеют производительность, близкую к исходной, и обеспечивают лучшую производительность, чем паравиртуализированные драйверы и эмулированный доступ. Виртуальные функции обеспечивают защиту данных между виртуальными машинами на одном физическом сервере, поскольку данные управляются и контролируются оборудованием.

Эти функции позволяют увеличить плотность виртуальных машин на хостах в центре обработки данных.

SR-IOV может лучше использовать полосу пропускания устройств с несколькими гостями.

В этом разделе рассматривается использование сквозной передачи PCI для назначения виртуальной функции многопортовой сетевой карты с поддержкой SR-IOV виртуальной машине в качестве сетевого устройства.

Виртуальные функции SR-IOV (VF) могут быть назначены виртуальным машинам, добавив запись устройства в с помощью команды virsh edit или virsh attach-device .Однако это может быть проблематично, потому что, в отличие от обычного сетевого устройства, сетевое устройство SR-IOV VF не имеет постоянного уникального MAC-адреса, и ему назначается новый MAC-адрес при каждой перезагрузке хоста. Из-за этого, даже если гостю назначается тот же VF после перезагрузки, при перезагрузке хоста гость определяет, что его сетевой адаптер имеет новый MAC-адрес. В результате гость считает, что каждый раз подключается новое оборудование, и обычно требует перенастройки сетевых настроек гостя.

libvirt содержит интерфейсное устройство . Используя это интерфейсное устройство, libvirt сначала выполнит любое указанное сетевое оборудование / инициализацию коммутатора (например, установку MAC-адреса, тега VLAN или параметров виртуального порта 802.1Qbh), а затем выполнит назначение устройства PCI гостю.

Для использования интерфейсного устройства требуется:

сетевая карта с поддержкой SR-IOV,
хост-оборудование, поддерживающее расширения Intel VT-d или AMD IOMMU
PCI-адрес VF, который должен быть назначен.

Назначение устройства SR-IOV виртуальной машине требует, чтобы оборудование хоста поддерживало спецификацию Intel VT-d или AMD IOMMU.

Чтобы подключить сетевое устройство SR-IOV к системе Intel или AMD, выполните следующую процедуру:

Процедура 16.8. Подключите сетевое устройство SR-IOV к системе Intel или AMD

Включите Intel VT-d или спецификации AMD IOMMU в BIOS и ядре
Пропустите этот шаг, если Intel VT-d уже включен и работает.
Подтвердить поддержку
Проверьте, обнаружено ли устройство PCI с возможностями SR-IOV. В этом примере показана сетевая карта Intel 82576, поддерживающая SR-IOV. Используйте команду lspci , чтобы проверить, было ли обнаружено устройство.
```
 #  lspci 
03: 00.0 Контроллер Ethernet: Intel Corporation 82576 Gigabit Network Connection (rev 01)
03: 00.1 Контроллер Ethernet: Intel Corporation 82576 Gigabit Network Connection (rev 01) 
```
Обратите внимание, что вывод был изменен, чтобы удалить все другие устройства.
Активировать виртуальные функции
Выполните следующую команду:
```
 #  echo $ {num_vfs}> / sys / class / net /  enp14s0f0  / device / sriov_numvfs  
```
Сделать виртуальные функции постоянными
Чтобы сделать виртуальные функции постоянными при перезагрузках, используйте редактор по вашему выбору, чтобы создать правило udev, подобное приведенному ниже, где вы указываете предполагаемое количество VF (в этом примере 2 ), вплоть до поддерживаемого лимита. сетевой картой.В следующем примере замените enp14s0f0 на имя (а) сетевого устройства PF и настройте значение ENV {ID_NET_DRIVER} в соответствии с используемым драйвером:
```
 #  vim /etc/udev/rules.d/enp14s0f0.rules  
```
```
ACTION == "добавить", SUBSYSTEM == "net", ENV {ID_NET_DRIVER} == "ixgbe",
ATTR {устройство / sriov_numvfs} = "2"
 
```
Это обеспечит включение функции во время загрузки.

Проверьте новые виртуальные функции

Используя команду lspci , перечислите вновь добавленные виртуальные функции, подключенные к сетевому устройству Intel 82576.(В качестве альтернативы используйте grep для поиска Virtual Function , чтобы найти устройства, поддерживающие виртуальные функции.)

 #  lspci | grep 82576 
0b: 00.0 Ethernet-контроллер: Intel Corporation 82576 Gigabit Network Connection (rev 01)
0b: 00.1 Контроллер Ethernet: Intel Corporation 82576 Gigabit Network Connection (rev 01)
0b: 10.0 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10.1 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10.2 Контроллер Ethernet: Intel Corporation 82576 Virtual Function (версия 01)
0b: 10.3 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10.4 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10,5 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10.6 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 10.7 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 11.0 Контроллер Ethernet: Intel Corporation 82576 Virtual Function (rev 01)
0b: 11.1 контроллер Ethernet: Intel Corporation 82576 Virtual Function (версия 01)
0b: 11.2 Контроллер Ethernet: Intel Corporation 82576 Virtual Function (версия 01)
0b: 11.3 Ethernet-контроллер: Intel Corporation 82576 Virtual Function (rev 01)
0b: 11.4 Контроллер Ethernet: Виртуальная функция Intel Corporation 82576 (версия 01)
0b: 11,5 Контроллер Ethernet: Intel Corporation 82576 Virtual Function (rev 01)

Идентификатор устройства PCI находится с параметром -n команды lspci .Физические функции соответствуют 0b: 00.0 и 0b: 00.1 . Все виртуальные функции имеют в описании Виртуальная функция .

Проверить наличие устройств с помощью virsh
Служба libvirt должна распознать устройство перед добавлением устройства к виртуальной машине. libvirt использует обозначение, аналогичное выходному сигналу lspci . Все знаки препинания: : и ., в вывод lspci заменен на символы подчеркивания ( _ ).
Используйте команду virsh nodedev-list и команду grep , чтобы отфильтровать сетевое устройство Intel 82576 из списка доступных хост-устройств. 0b — фильтр для сетевых устройств Intel 82576 в этом примере. Это может отличаться для вашей системы и может привести к дополнительным устройствам.
```
 #  virsh nodedev-list | grep   0b   
pci_0000_0b_00_0
pci_0000_0b_00_1
pci_0000_0b_10_0
pci_0000_0b_10_1
pci_0000_0b_10_2
pci_0000_0b_10_3
pci_0000_0b_10_4
pci_0000_0b_10_5
pci_0000_0b_10_6
pci_0000_0b_11_7
pci_0000_0b_11_1
pci_0000_0b_11_2
pci_0000_0b_11_3
pci_0000_0b_11_4
pci_0000_0b_11_5 
```
Адреса PCI для виртуальных функций и физических функций должны быть в списке.

Получите подробную информацию об устройстве с помощью virsh

pci_0000_0b_00_0 — одна из физических функций, а pci_0000_0b_10_0 — первая соответствующая виртуальная функция для этой физической функции. Используйте команду virsh nodedev-dumpxml , чтобы получить сведения об обоих устройствах.

 # virsh nodedev-dumpxml pci_0000_03_00_0
<устройство>
   pci_0000_03_00_0 
  <путь> / sys / devices / pci0000: 00/0000: 00: 01.0/0000: 03: 00.0 
   pci_0000_00_01_0 
  <драйвер>
     igb 
  
  <тип возможности = 'pci'>
    <домен> 0 
     3 
     0 
     0 
     82576 гигабитное сетевое соединение 
     Корпорация Intel 
    <тип возможности = 'virt_functions'>
      <адрес домен = '0x0000' шина = '0x03' слот = '0x10' функция = '0x0' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x10' функция = '0x2' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x10' функция = '0x4' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x10' функция = '0x6' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x11' функция = '0x0' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x11' функция = '0x2' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x11' функция = '0x4' />
    
    
      <адрес домен = '0x0000' шина = '0x03' слот = '0x00' функция = '0x0' />
      <адрес домен = '0x0000' шина = '0x03' слот = '0x00' функция = '0x1' />

 # virsh nodedev-dumpxml pci_0000_03_11_5
<устройство>
   pci_0000_03_11_5 
  <путь> / sys / devices / pci0000: 00/0000: 00: 01.0/0000: 03: 11,5 
   pci_0000_00_01_0 
  <драйвер>
     igbvf 
  
  <тип возможности = 'pci'>
    <домен> 0 
     3 
     17 
     5 
     82576 Виртуальная функция 
     Корпорация Intel 
    <способность тип = 'Phys_function'>
      <адрес домен = '0x0000' шина = '0x03' слот = '0x00' функция = '0x1' />
    
    
      <адрес домен = '0x0000' шина = '0x03' слот = '0x11' функция = '0x5' />

Этот пример добавляет виртуальную функцию pci_0000_03_10_2 к виртуальной машине на шаге 8.Обратите внимание на параметры шины , слота и функции виртуальной функции: они необходимы для добавления устройства.

Скопируйте эти параметры во временный файл XML, например, /tmp/new-interface.xml .

   
     <источник>
       <тип адреса = 'pci' domain = '0x0000' bus = '0x03' slot = '0x10' function = '0x2' />

Когда виртуальная машина запускается, она должна увидеть сетевое устройство того типа, который предоставляется физическим адаптером, с настроенным MAC-адресом.Этот MAC-адрес останется неизменным при перезагрузке хоста и гостя.

В следующем примере показан синтаксис для дополнительных элементов , и . На практике используйте элемент или , но не оба одновременно, как показано в примере:

...
 <устройства>
   ...
   
     <источник>
       <тип адреса = 'pci' domain = '0' bus = '11 'slot = '16' function = '0' />
     
     
     
        <тег />
     
     <тип виртуального порта = '802.1Qbh'>
       <параметры profileid = 'finance' />
     
   
   ...

Если вы не укажете MAC-адрес, он будет сгенерирован автоматически.Элемент используется только при подключении к аппаратному коммутатору 802.11Qbh. Элемент прозрачно помещает гостевое устройство в VLAN с тегами 42 .

Добавить виртуальную функцию к виртуальной машине
Добавьте виртуальную функцию на виртуальную машину, используя следующую команду с временным файлом, созданным на предыдущем шаге.Это немедленно подключает новое устройство и сохраняет его для последующих гостевых перезапусков.
```
прикрепленное устройство virsh  MyGuest   /tmp/new-interface.xml  --live --config
 
```
Указание опции --live с virsh attach-device подключает новое устройство к работающему гостю. Использование опции --config гарантирует, что новое устройство будет доступно после перезапуска гостевой системы в будущем.
Параметр --live принимается только тогда, когда гость работает. virsh вернет ошибку, если параметр --live используется на неработающем гостевом компьютере.

Виртуальная машина обнаруживает новую сетевую карту. Эта новая карта является виртуальной функцией устройства SR-IOV.

`16.2.3. Настройка назначения PCI с помощью устройств SR-IOV`

Сетевые карты SR-IOV предоставляют несколько виртуальных функций, каждая из которых может быть индивидуально назначена гостевым виртуальным машинам с использованием назначения устройств PCI.После назначения каждое из них ведет себя как полноценное физическое сетевое устройство. Это позволяет многим гостевым виртуальным машинам получить преимущество в производительности за счет прямого назначения устройств PCI, используя только один слот на физической машине хоста.

Эти VF могут быть назначены гостевым виртуальным машинам традиционным способом с помощью элемента . Однако сетевые устройства SR-IOV VF не имеют постоянных уникальных MAC-адресов, что вызывает проблемы, когда сетевые параметры гостевой виртуальной машины необходимо повторно настраивать при каждой перезагрузке физической машины хоста.Чтобы исправить это, вам необходимо установить MAC-адрес перед назначением VF на физическую машину хоста после каждой загрузки гостевой виртуальной машины. Чтобы назначить этот MAC-адрес, а также другие параметры, см. Следующую процедуру:

Процедура 16.9. Настройка MAC-адресов, vLAN и виртуальных портов для назначения устройств PCI на SR-IOV

 Элемент    не может использоваться для конкретных функций, таких как назначение MAC-адреса, назначение идентификатора тега vLAN или назначение виртуального порта, потому что   ,    и    элементы не являются допустимыми дочерними элементами для   .Вместо этого эти элементы можно использовать с типом интерфейса hostdev:   . Этот тип устройства ведет себя как гибрид    и   . Таким образом, перед назначением устройства PCI гостевой виртуальной машине libvirt инициализирует указанное сетевое оборудование / коммутатор (например, установка MAC-адреса, установка тега vLAN или связывание с коммутатором 802.1Qbh) в гостевой виртуальной машине. XML-файл конфигурации машины.Для получения информации о настройке тега vLAN см. Раздел 17.16, «Настройка тегов vLAN».  Сбор информации 
 Чтобы использовать   , у вас должна быть сетевая карта с поддержкой SR-IOV, оборудование физического компьютера хоста, которое поддерживает расширения Intel VT-d или AMD IOMMU, и вы должны знать PCI адрес VF, который вы хотите назначить.
  Выключите гостевую виртуальную машину 
 #  virsh shutdown  guestVM   
  Откройте XML-файл для редактирования 
 #  virsh save-image-edit  guestVM.xml   - работает   
  guestVM.xml  откроется в редакторе по умолчанию.
  Редактировать файл XML 
 Обновите файл конфигурации ( guestVM.xml ), чтобы он имел запись  <устройства> , подобную следующей:

 <устройства>
   ...
   
     <источник>
        
     
      
     <тип виртуального порта = '802.1Qbh '> 
       <параметры profileid = 'finance' />
     
      
      <тег />
     
   
   ...
 

 
  Рисунок 16.11. Пример XML домена для типа интерфейса hostdev 
 Обратите внимание, что если вы не предоставите MAC-адрес, он будет автоматически сгенерирован, как и в случае любого другого типа интерфейсного устройства.Кроме того, элемент    используется только при подключении к аппаратному коммутатору 802.11Qgh. Коммутаторы 802.11Qbg (также известные как «VEPA») в настоящее время не поддерживаются.
  Перезапустить гостевую виртуальную машину 
 #  virsh start  guestVM   
 Когда гостевая виртуальная машина запускается, она видит сетевое устройство, предоставленное ей адаптером физического хоста, с настроенным MAC-адресом.Этот MAC-адрес остается неизменным при перезагрузке гостевой виртуальной машины и физической машины хоста.
 16.2.4. Настройка назначения устройства PCI из пула виртуальных функций SR-IOV
 Жесткое кодирование адресов PCI определенных виртуальных функций (VF) в гостевой конфигурации имеет два серьезных ограничения:
 Указанный VF должен быть доступен при каждом запуске гостевой виртуальной машины. Следовательно, администратор должен постоянно назначать каждый VF одной гостевой виртуальной машине (или изменять файл конфигурации для каждой гостевой виртуальной машины, чтобы указывать неиспользуемый в настоящее время PCI-адрес VF при каждом запуске каждой гостевой виртуальной машины).
 Если гостевая виртуальная машина перемещается на другую физическую машину хоста, эта физическая машина хоста должна иметь точно такое же оборудование в том же месте на шине PCI (или конфигурация гостевой виртуальной машины должна быть изменена перед запуском).
 Обе эти проблемы можно избежать, создав сеть libvirt с пулом устройств, содержащим все VF устройства SR-IOV. Как только это будет сделано, настройте гостевую виртуальную машину для ссылки на эту сеть.При каждом запуске гостя из пула выделяется один VF, который назначается гостевой виртуальной машине. Когда гостевая виртуальная машина остановлена, VF будет возвращен в пул для использования другой гостевой виртуальной машиной.
  Порядок действий 16.10. Создание пула устройств 
  Завершение работы гостевой виртуальной машины 
 #  Завершение работы virsh  guestVM   
  Создание файла конфигурации 
 Используя выбранный вами редактор, создайте XML-файл (с именем  passthrough.xml , например) в каталоге  / tmp . Не забудьте заменить  pf dev = 'eth4'  на имя netdev вашего собственного устройства SR-IOV  Physical Function  (PF).
 Ниже приведен пример определения сети, которое сделает доступным пул всех VF для адаптера SR-IOV с его PF в "eth4" на физической машине хоста:
      
<сеть>
    passthrough  
   
      
   

      

 
  Рисунок 16.12. Пример домена определения сети XML 
  Загрузите новый файл XML 
 Введите следующую команду, заменив  /tmp/passthrough.xml  именем и расположением вашего XML-файла, созданного на предыдущем шаге:
 #  virsh net-define  /tmp/passthrough.xml   
  Перезапуск гостевой системы 
 Выполните следующее, заменив  passthrough.xml  именем вашего XML-файла, созданного на предыдущем шаге:
 #  virsh net-autostart  passthrough   #  virsh net-start  passthrough   
  Перезапустить гостевую виртуальную машину 
 #  virsh start  guestVM   
 Запуск сквозной передачи для устройств 
 Хотя показано только одно устройство, libvirt автоматически выведет список всех VF, связанных с этим PF, при первом запуске гостевой виртуальной машины с определением интерфейса в XML домена, как показано ниже:
         
<тип интерфейса = 'сеть'>
   <исходная сеть = 'сквозной'>

      

 
  Рисунок 16.13. Пример XML домена для определения сети интерфейса 
  Проверка 
 В этом можно убедиться, выполнив команду  virsh net-dumpxml  passthrough   после запуска первого гостя, использующего сеть; вы получите следующий результат:
      
<сетевые подключения = '1'>
    сквозной 
    a6b49429-d353-d7ad-3185-4451cc786437 
   
     
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x10' function = '0x1' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x10' function = '0x3' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x10' function = '0x5' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x10' function = '0x7' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x11' function = '0x1' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x11' function = '0x3' />
     <тип адреса = 'pci' domain = '0x0000' bus = '0x02' slot = '0x11' function = '0x5' />
   

      

 
  Рисунок 16.14. Передача файла дампа XML   содержимое 
 16.2.5. Ограничения SR-IOV
 SR-IOV проходит тщательные испытания только со следующими устройствами:
 Гигабитный сетевой контроллер Intel® 82576NS (драйвер  igb )
 Гигабитный сетевой контроллер Intel® 82576EB (драйвер  igb )
 10-гигабитный сетевой контроллер Intel® 82599ES Ethernet (драйвер  ixgbe )
 10-гигабитный сетевой контроллер Intel® 82599EB Ethernet (драйвер  ixgbe )
 Другие устройства SR-IOV могут работать, но не были протестированы на момент выпуска.
 Документы OpenStack: SR-IOV
 Цель этой страницы - описать, как включить функциональность SR-IOV.
доступно в OpenStack (с использованием OpenStack Networking).Эта функциональность была
впервые представлен в выпуске OpenStack Juno. Эта страница предназначена для использования в качестве
руководство по настройке OpenStack Networking и OpenStack Compute для
создать порты SR-IOV.
 Основы
 PCI-SIG Single Root I / O Virtualization and Sharing (SR-IOV) - это функциональность
доступен в OpenStack с момента выпуска Juno. Спецификация SR-IOV
определяет стандартизированный механизм виртуализации устройств PCIe. Этот механизм
может виртуализировать один контроллер Ethernet PCIe, чтобы он выглядел как несколько PCIe
устройств.Каждое устройство можно напрямую назначить экземпляру, минуя
уровень гипервизора и виртуального коммутатора. В результате пользователи могут достичь
низкая задержка и скорость передачи данных, близкая к линии.
 В этом документе используются следующие термины:
 Срок  Определение
 PF  Физическая функция. Физический контроллер Ethernet, поддерживающий
SR-IOV.
 VF  Виртуальная функция.Виртуальное устройство PCIe, созданное из физического
Контроллер Ethernet.
 Агент SR-IOV
 Агент SR-IOV позволяет установить административное состояние портов, настроить порт
безопасность (включение и отключение проверки спуфинга) и настройка ограничения скорости QoS
и минимальная пропускная способность. Вы должны включить агент SR-IOV на каждый вычислительный узел.
с использованием портов SR-IOV.
 Примечание
 Агент SR-IOV был необязательным до Mitaka и не был включен по умолчанию.
до свободы.
 Примечание
 Добавлена возможность управления безопасностью портов и настройками ограничения скорости QoS.
в Либерти.
 Использование интерфейсов SR-IOV
 Для включения SR-IOV необходимы следующие шаги:
 Создание виртуальных функций (вычисление)
 Добавить PCI-устройства в белый список в nova-compute (Compute)
 Настроить нейтрон-сервер (Контроллер)
 Настроить nova-scheduler (Контроллер)
 Включить нейтронный скрип-агент (Вычислить)
 Мы рекомендуем использовать сети провайдера VLAN для разделения.Таким образом вы можете
объединить экземпляры без портов SR-IOV и экземпляры с портами SR-IOV на
единая сеть.
 Примечание
 В этом руководстве в качестве PF используется  eth4 , а в качестве PF -  Physnet2 .
как сеть провайдера, настроенная как диапазон VLAN. Эти порты могут отличаться
разные среды.
 Создание виртуальных функций (вычисление)
 Создайте VF для сетевого интерфейса, который будет использоваться для SR-IOV. Мы используем  eth4  как PF, который также используется в качестве интерфейса для провайдера VLAN
сеть и имеет доступ к частным сетям всех машин.
 Примечание
 В шагах подробно описано, как создать VF с помощью Mellanox ConnectX-4 и новее / Intel
Карты Ethernet SR-IOV в системе Intel. Шаги могут отличаться для разных
аппаратные конфигурации.
 Убедитесь, что в BIOS включены SR-IOV и VT-d.
 Включите IOMMU в Linux, добавив  intel_iommu = on  к параметрам ядра,
например, используя GRUB.
 На каждом вычислительном узле создайте VF через интерфейс PCI SYS:
 # эхо '8'> / sys / class / net / eth4 / device / sriov_numvfs
 
 Примечание
 На некоторых устройствах PCI обратите внимание, что при изменении количества VF вы
получить ошибку  Устройство или ресурс занят .В этом случае вы должны
сначала установите  sriov_numvfs  на  0 , затем установите новое значение.
 Примечание
 Сетевой интерфейс может использоваться как для сквозной передачи PCI, с использованием PF,
и SR-IOV, используя VF. Если используется PF, номер VF хранится в
файл  sriov_numvfs  потерян. Если PF снова присоединен к
операционной системы, количество VF, назначенных этому интерфейсу, будет
нуль. Чтобы количество VF всегда было назначено этому интерфейсу,
изменить файл конфигурации интерфейсов, добавив сценарий  ifup  команда.
 В Ubuntu изменение файла  / etc / network / interfaces :
 авто eth4
iface eth4 inet dhcp
предварительное эхо '4'> / sys / class / net / eth4 / device / sriov_numvfs
 
 В Red Hat изменение файла  / sbin / ifup-local :
 #! / Bin / sh
если [["$ 1" == "eth4"]]
потом
    эхо '4'> / sys / class / net / eth4 / device / sriov_numvfs
фи
 
 Предупреждение
 В качестве альтернативы вы можете создать VF, передав  max_vfs  в
модуль ядра вашего сетевого интерфейса.Однако  max_vfs  устарел, поэтому интерфейс PCI SYS является предпочтительным
метод.
 Вы можете определить максимальное количество VF, которое может поддерживать PF:
 # cat / sys / class / net / eth4 / device / sriov_totalvfs
63
 
 Убедитесь, что VF были созданы и находятся в состоянии  вверх :
 # lspci | grep Ethernet
82: 00.0 Контроллер Ethernet: Intel Corporation 82599ES 10-гигабитное сетевое соединение SFI / SFP + (версия 01)
82:00.1 контроллер Ethernet: Intel Corporation 82599ES 10-гигабитное сетевое соединение SFI / SFP + (версия 01)
82: 10.0 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 10.2 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 10.4 Ethernet-контроллер: Виртуальная функция Ethernet-контроллера Intel Corporation 82599 (версия 01)
82: 10.6 Ethernet-контроллер: Виртуальная функция Ethernet-контроллера Intel Corporation 82599 (версия 01)
82: 11.0 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82:11.2 Контроллер Ethernet: Intel Corporation 82599 Виртуальная функция контроллера Ethernet (версия 01)
82: 11.4 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
82: 11.6 Контроллер Ethernet: Виртуальная функция контроллера Ethernet Intel Corporation 82599 (версия 01)
 
 # ip link show eth4
8: eth4:  mtu 1500 qdisc mq state UP mode DEFAULT qlen 1000
   ссылка / эфир a0: 36: 9f: 8f: 3f: b8 brd ff: ff: ff: ff: ff: ff
   vf 0 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 1 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 2 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 3 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 4 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 5 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 6 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
   vf 7 MAC 00: 00: 00: 00: 00: 00, проверка спуфинга включена, состояние канала автоматически
 
 Если интерфейсы не работают, установите для них значение  до  перед запуском гостевой системы,
иначе экземпляр не появится:
 Сохранять созданные VF при перезагрузке:
 # echo "echo '7'> / sys / class / net / eth4 / device / sriov_numvfs" >> / etc / rc.местный
 
 Примечание
 Предлагаемый способ сделать настройки PCI SYS постоянными:
инструмент  sysfsutils . Однако по умолчанию это недоступно на
многие основные дистрибутивы.
 Добавить PCI-устройства в белый список nova-compute (Compute)
 Настройте, какие устройства PCI может использовать служба  nova-compute . Редактировать
файл  nova.conf :
 [по умолчанию]
pci_passthrough_whitelist = {"devname": "eth4", "physical_network": "physnet2"}
 
 Это сообщает службе вычислений, что все VF, принадлежащие  eth4  разрешено передавать экземплярам и принадлежать к сети провайдера  Physnet2 .
 В качестве альтернативы параметр  pci_passthrough_whitelist  также поддерживает
внесение в белый список:
 PCI-адрес: для адреса используется тот же синтаксис, что и в  lspci  и
звездочку (*) можно использовать для обозначения чего угодно.
 pci_passthrough_whitelist = {"адрес": "[[[[<домен>]:] <шина>]:] [<слот>] [. [<Функция>]]", "физическая_сеть": "physnet2"}
 
 Например, для соответствия любому домену, шине 0a, слоту 00 и всем функциям:
 pci_passthrough_whitelist = {"адрес": "*: 0a: 00.* "," physical_network ":" physnet2 "}
 
 PCI  vendor_id  и  product_id , как отображается утилитой Linux  lspci .
 pci_passthrough_whitelist = {"vendor_id": "", "product_id": "", "physical_network": "physnet2"}
 
 Если устройство определено адресом PCI или  devname  соответствует
SR-IOV PF, все VF под PF будут соответствовать записи. Несколько
Поддерживается  pci_passthrough_whitelist  записей на хост.
 Перезапустите службу  nova-compute , чтобы изменения вступили в силу.
 Настроить нейтрон-сервер (Контроллер)
 Добавьте  sriovnicswitch  в качестве драйвера механизма. Отредактируйте файл  ml2_conf.ini  на каждом контроллере:
 механизм_drivers = openvswitch, sriovnicswitch
 
 Добавьте файл  plugin.ini  в качестве параметра на нейтронный сервер   служба.Отредактируйте соответствующий сценарий инициализации, чтобы настроить  нейтрон-сервер  сервис для загрузки файла конфигурации плагина:
 --config-файл /etc/neutron/neutron.conf
--config-файл /etc/neutron/plugin.ini
 
 Перезапустите службу  нейтронного сервера .
 Настроить nova-scheduler (контроллер)
 На каждом узле контроллера, на котором запущена служба  nova-scheduler , добавьте  PciPassthroughFilter с  по  scheduler_default_filters  для включения  PciPassthroughFilter  по умолчанию.Также убедитесь, что  scheduler_available_filters  параметр под  [ПО УМОЛЧАНИЮ]  раздел в  nova.conf  установлен на  all_filters  чтобы включить все фильтры, предоставляемые службой вычислений.
 [ПО УМОЛЧАНИЮ]
scheduler_default_filters = RetryFilter, AvailabilityZoneFilter, RamFilter, ComputeFilter, ComputeCapabilitiesFilter, ImagePropertiesFilter, ServerGroupAntiAffinityFilter, ServerGroupAffinityFilter, PciPassthroughFilter
scheduler_available_filters = нова.scheduler.filters.all_filters
 
 Перезапустите службу  nova-scheduler .
 Включить нейтронный скрип-агент (вычислить)
 Установите агент SR-IOV.
 Отредактируйте файл  sriov_agent.ini  на каждом вычислительном узле. Например:
 [группа безопасности]
firewall_driver = нейтрон.agent.firewall.NoopFirewallDriver

[sriov_nic]
Physical_device_mappings = physnet2: eth4
exclude_devices =
 
 Примечание
 Параметр  physical_device_mappings  не ограничивается 1-1
отображение между физическими сетями и сетевыми картами.Это позволяет отображать
одна и та же физическая сеть к более чем одной сетевой карте. Например, если  Physnet2  подключается к  eth4  и  eth5 , то  Physnet2: eth4, Physnet2: eth5  - допустимый вариант.
 Параметр  exclude_devices  пуст, поэтому все VF
связанный с eth4, может быть настроен агентом. Чтобы исключить конкретные
VF, добавьте их в параметр  exclude_devices  следующим образом:
 exclude_devices = eth2: 0000: 07: 00.2; 0000: 07: 00.3, eth3: 0000: 05: 00.1; 0000: 05: 00.2
 
 Убедитесь, что нейтронный sriov-agent работает успешно:
 # нейтрон-криов-ник-агент \
  --config-файл /etc/neutron/neutron.conf \
  --config-файл /etc/neutron/plugins/ml2/sriov_agent.ini
 
 Включить службу нейтронного скрипта.
 При установке из исходного кода необходимо настроить файл демона для инициализации.
систему вручную.
 (Необязательно) Расширение агента L2 FDB
 Население Forwarding DataBase (FDB) - это расширение агента L2 для агента OVS или
Мост Linux.Его цель - обновить таблицу FDB для существующего экземпляра.
используя обычный порт. Это обеспечивает связь между экземплярами SR-IOV и
нормальные экземпляры. Сценарии использования расширения популяции FDB:
 Экземпляры прямого и обычного порта находятся на одном вычислительном узле.
 Экземпляр прямого порта, использующий плавающий IP-адрес и сетевой узел
расположены на одном хосте.
 Дополнительную информацию, описывающую проблему, см .:
Технологии виртуальной коммутации и мост Linux.
 Отредактируйте файл  ovs_agent.ini  или  linuxbridge_agent.ini  на каждом вычислении
узел. Например:
 Добавьте раздел FDB и параметр  shared_physical_device_mappings .
Этот параметр сопоставляет каждый физический порт с его физическим сетевым именем. Каждый
физическая сеть может быть отображена на несколько портов:
 [FDB]
shared_physical_device_mappings = Physnet1: p1p1, Physnet1: p1p2
 
 Запуск инстансов с портами SR-IOV
 После завершения настройки вы можете запускать экземпляры с портами SR-IOV.
 Получите  id  сети, в которой вы хотите создать порт SR-IOV:
 $ net_id = `нейтрон net-show net04 | grep "\ id \" | awk '{print $ 4}' `
 
 Создайте порт SR-IOV.  vnic_type = direct  здесь используется, но другие варианты
включают  нормальный ,  прямой физический  и  macvtap :
 $ port_id = `создать нейтронный порт $ net_id --name sriov_port --binding: vnic_type direct | grep "\ id \" | awk '{print $ 4}' `
 
 Создайте экземпляр.Укажите порт SR-IOV, созданный на втором шаге, для
Сетевая карта:
 $ openstack server create --flavor m1.large --image ubuntu_14.04 --nic port-id = $ port_id test-sriov
 
 Примечание
 Есть два способа прикрепить VF к экземпляру. Вы можете создать SR-IOV
порт или используйте  pci_alias  в службе вычислений. Для большего
информацию об использовании  pci_alias  см. в конфигурации nova-api.
 SR-IOV с InfiniBand
 Поддержка SR-IOV с InfiniBand позволяет виртуальному PCI-устройству (VF)
быть напрямую сопоставленным с гостем, что обеспечивает более высокую производительность и расширенные
такие функции, как RDMA (удаленный прямой доступ к памяти).Чтобы использовать эту функцию,
вы должны:
 Используйте сетевые адаптеры с поддержкой InfiniBand.
 Запустите диспетчеры подсетей InfiniBand, чтобы включить структуру InfiniBand.
 Во всех сетях InfiniBand должен быть запущен менеджер подсети для сети.
функционировать. Это верно даже для простой сети из двух
машины без переключателя, и карты вставляются спина к спине. А
Для появления ссылки на карточках требуется менеджер подсети.
Возможно иметь более одного менеджера подсети.В этом случае один
из них будет действовать как хозяин, а любой другой будет действовать как раб, который
возьмет на себя управление при выходе из строя главного диспетчера подсети.
 Установите утилиту  ebrctl  на вычислительных узлах.
 Убедитесь, что  ebrctl  указан где-то в  /etc/nova/rootwrap.d/* :
 $ grep 'ebrctl' /etc/nova/rootwrap.d/*
 
 Если  ebrctl  не отображается ни в одном из файлов rootwrap, добавьте его в  / и т. Д. / Nova / rootwrap.d / compute.filters  файл в разделе  [Filters] .
 [Фильтры]
ebrctl: CommandFilter, ebrctl, корень
 
 Известные ограничения
 При использовании качества обслуживания (QoS)  max_burst_kbps  (  max_kbps ) не поддерживается. Кроме того,  max_kbps  округляется до
Мбит / с.
 Группы безопасности не поддерживаются при использовании SR-IOV, поэтому межсетевой экран
драйвер должен быть отключен.Это можно сделать в файле  Neutron.conf .
 [группа безопасности]
firewall_driver = нейтрон.agent.firewall.NoopFirewallDriver
 
 SR-IOV не интегрирован в панель мониторинга OpenStack (горизонт). Пользователи должны
используйте CLI или API для настройки интерфейсов SR-IOV.
 Динамическая миграция не поддерживается для экземпляров с портами SR-IOV.
 Примечание
 Для функций SR-IOV может потребоваться определенная версия драйвера сетевой карты в зависимости от поставщика.Например, для сетевых адаптеров Intel требуется ixgbe версии 4.4.6 или выше и ixgbevf версии.
3.2.2 или выше.
 Присоединение портов SR-IOV к существующим серверам в настоящее время не поддерживается, см.
bug 1708433 для подробностей.
 systemd.network
  Description = 
 Описание устройства. Это используется только для
презентационные цели.
  DHCP = 
 Включает поддержку клиентов DHCPv4 и / или DHCPv6.Принимает
« да », « нет »,
« ipv4 » или « ipv6 ». По умолчанию
к « № ».
 Обратите внимание, что DHCPv6 по умолчанию запускается маршрутизатором.
Реклама, если она включена, независимо от этого параметра.
При явном включении поддержки DHCPv6 клиент DHCPv6 будет
запускаться независимо от наличия роутеров на линке,
или какие флаги передают роутеры.Видеть
« IPv6AcceptRA = ».
 Кроме того, обратите внимание, что по умолчанию доменное имя
указанный через DHCP не используется для разрешения имен.
См. Параметр  UseDomains =  ниже.
 См. Разделы [DHCPv4] или [DHCPv6] ниже, чтобы узнать о дополнительных параметрах настройки DHCP.
клиентская поддержка.
  DHCPServer = 
 Принимает логическое значение. Если установлено « да », сервер DHCPv4 будет запущен.По умолчанию
к « № ». Дополнительные настройки DHCP-сервера можно установить в [DHCPServer]
раздел, описанный ниже.
  LinkLocalAddressing = 
 Включает автоконфигурацию локального адреса канала. Принимает  да ,  нет ,  ipv4  и  ipv6 . Локальный адрес IPv6-ссылки
настраивается, когда  да  или  ipv6 . Локальный адрес ссылки IPv4
настраивается при  да  или  ipv4  и при автоконфигурации DHCPv4
был безуспешным в течение некоторого времени.(Автоконфигурация локального адреса ссылки IPv4 обычно
происходят параллельно с неоднократными попытками получить аренду DHCPv4).
 По умолчанию  нет , когда  Bridge = yes  установлен, и  ipv6  иначе.
  IPv6LinkLocalAddressGenerationMode = 
 Определяет, как генерируется локальный адрес ссылки IPv6. Занимает одно из
« eui64 », « none », « стабильная конфиденциальность » и
« случайный ».Если не задано, используется " стабильная конфиденциальность ", если  IPv6StableSecretAddress = , а если нет,
Используется " eui64 ". Обратите внимание, что если  LinkLocalAddressing =  « без » или « ipv4 », затем  IPv6LinkLocalAddressGenerationMode =  будет проигнорирован. Кроме того, даже если  LinkLocalAddressing =  равно « да » или
" ipv6 ", установка  IPv6LinkLocalAddressGenerationMode = none  отключает настройку локального адреса IPv6.
  IPv6StableSecretAddress = 
 Принимает адрес IPv6. Указанный адрес будет использоваться в качестве стабильного секрета для
создание локального адреса IPv6. Если этот параметр указан, и  IPv6LinkLocalAddressGenerationMode =  не задано, затем  IPv6LinkLocalAddressGenerationMode = стабильная конфиденциальность  подразумевается.
Если этот параметр не указан, а для параметра « стабильная конфиденциальность » установлено значение  IPv6LinkLocalAddressGenerationMode = ,
тогда стабильный секретный адрес будет сгенерирован из идентификатора локального компьютера и интерфейса
название.
  IPv4LLRoute = 
 Принимает логическое значение. Если установлено значение true, устанавливает маршрут, необходимый для
хосты без IPv4LL для связи с хостами, поддерживающими только IPv4LL. По умолчанию
к ложному.
  DefaultRouteOnDevice = 
 Принимает логическое значение. Если установлено значение true, устанавливает маршрут по умолчанию, привязанный к интерфейсу.
По умолчанию - false. Это полезно при создании маршрутов на двухточечных интерфейсах.
Это эквивалентно e.г. следующие,
 ip route добавить разработчика по умолчанию veth99 
 или,
 [Маршрут]
Шлюз = 0.0.0.0 
 В настоящее время нет возможности указать, например, таблицу для маршрута, настроенного с помощью
этот параметр. Чтобы настроить маршрут по умолчанию с таким дополнительным свойством, используйте
вместо этого следующее:
 [Маршрут]
Шлюз = 0.0.0.0
Таблица = 1234 
  IPv6Token = 
 Задает дополнительный режим генерации адреса для адреса без сохранения состояния.
Автоконфигурация (SLAAC).Поддерживаемые режимы: « prefixstable » и
« статический ».
 Если установлен режим « статический », IPv6-адрес должен быть
указывается после двоеточия (": "), а младшие биты предоставленного
адрес объединяется с старшими битами префикса, полученного в объявлении маршрутизатора
(RA) сообщение для формирования полного адреса. Обратите внимание, что если в
Сообщение RA, или в нескольких сообщениях RA, адреса будут формироваться из каждого из них с использованием
предоставленный адрес.Этот режим реализует SLAAC, но использует статический идентификатор интерфейса.
вместо идентификатора, сгенерированного с помощью алгоритма EUI-64. Поскольку интерфейс
идентификатор является статическим, если обнаружение повторяющегося адреса обнаруживает, что вычисленный адрес является
дублировать (используется другим узлом в ссылке), то в этом режиме не будет
адрес для этого префикса. Если указан IPv6-адрес без режима, то
Предполагается режим « статический ».
 Когда установлен режим " prefixstable ",
RFC 7217 алгоритм для генерации
будут использоваться идентификаторы интерфейсов. В этом режиме можно дополнительно использовать IPv6-адрес, разделенный
с двоеточием («: »). Если указан IPv6-адрес, то интерфейс
идентификатор генерируется только тогда, когда префикс, полученный в сообщении RA, совпадает с предоставленным
адрес.
 Если режим генерации адреса не указан (по умолчанию), или получен
префикс не соответствует ни одному из адресов, указанных в " prefixstable "
режим, то алгоритм EUI-64 будет использоваться для формирования идентификатора интерфейса для этого
префикс.Этот режим также является SLAAC, но с потенциально стабильным идентификатором интерфейса, который
не сопоставляется напрямую с аппаратным адресом интерфейса.
 Обратите внимание, что алгоритм « prefixstable » использует оба интерфейса
имя и MAC-адрес в качестве входных данных в хэш для вычисления идентификатора интерфейса, поэтому, если
из них изменится результирующий идентификатор интерфейса (и адрес), даже если
префикс, полученный в сообщении RA, не изменился.
 Этот параметр можно указывать несколько раз. Если присвоена пустая строка, то
все предыдущие назначения очищаются.
 Примеры:
 IPv6Token = :: 1a: 2b: 3c: 4d
IPv6Token = static ::: 1a: 2b: 3c: 4d
IPv6Token = prefixstable
IPv6Token = prefixstable: 2002: da8: 1 :: 
  LLMNR = 
 Принимает логическое значение или « разрешение ». Когда это правда,
включает Link-Local
Разрешение многоадресного имени по ссылке.При установке на
« разрешение », разрешено только разрешение,
но не хостинг регистрации и объявления. По умолчанию
истинный. Этот параметр читается
systemd-resolved.service (8).
  MulticastDNS = 
 Принимает логическое значение или « разрешение ». Когда это правда,
включает многоадресную рассылку
Поддержка DNS по ссылке. При установке на
« разрешение », разрешено только разрешение,
но не хоста или регистрации службы и
объявление.По умолчанию - false. Этот параметр читается
systemd-resolved.service (8).
  DNSOverTLS = 
 Принимает логическое значение или « уступчивый ».
Когда истина, включает
DNS-поверх-TLS
поддержка по ссылке.
Когда установлено значение « оппортунистический », совместимость с
количество серверов без DNS-over-TLS увеличивается автоматически
отключение DNS-over-TLS серверов в этом случае.
Этот параметр определяет настройку интерфейса для
решено.conf (5)
глобальная опция  DNSOverTLS = . По умолчанию
ложный. Этот параметр читается
systemd-resolved.service (8).
  DNSSEC = 
 Принимает логическое значение или " разрешить-понизить до ". Когда истина, включает
DNSSEC
Поддержка проверки DNS по ссылке. При установке на
« allow-downgrade », совместимость с
количество сетей, не поддерживающих DNSSEC, увеличивается автоматически
отключение DNSSEC в этом случае.Этот параметр определяет
настройка каждого интерфейса для
resolved.conf (5) 's
опция global  DNSSEC = . По умолчанию
ложный. Этот параметр читается
systemd-resolved.service (8).
  DNSSECNegativeTrustAnchors = 
 Список отрицательных DNSSEC, разделенных пробелами.
доверять якорным доменам. Если указано и включен DNSSEC,
поиски, выполненные через DNS-сервер интерфейса, будут предметом
в список якорей отрицательного доверия и не требует
аутентификация для указанных доменов или что-то ниже
Это.Используйте это, чтобы отключить аутентификацию DNSSEC для определенных
частные домены, действительность которых не может быть подтверждена с помощью
Иерархия DNS в Интернете. По умолчанию пустой список. Этот
настройка читается
systemd-resolved.service (8).
  LLDP = 
 Управляет поддержкой приема пакетов Ethernet LLDP. LLDP - это протокол канального уровня, обычно
реализован на профессиональных маршрутизаторах и мостах, который сообщает, к какому физическому порту подключена система
к, а также другие связанные данные.Принимает логическое или специальное значение
«Маршрутизаторы  - только ». Когда истина, входящие пакеты LLDP принимаются и база данных всех LLDP
соседи поддерживаются. Если " роутеры-только " заданы только данные LLDP различных типов роутеров.
собираются и игнорируются данные LLDP о других типах устройств (таких как станции, телефоны и
другие). Если false, прием LLDP отключен. По умолчанию « только маршрутизаторы ». Использовать
networkctl (1) для запроса
собраны данные о соседях.LLDP доступен только на каналах Ethernet. См.  EmitLLDP =  ниже.
для включения передачи пакетов LLDP из локальной системы.
  EmitLLDP = 
 Управляет поддержкой передачи пакетов Ethernet LLDP. Принимает логический параметр или специальные значения
« ближайший мост », « без ТПМР-мост » и
« клиент-мост ». По умолчанию false, что отключает передачу пакетов LLDP.Если не ложь,
короткий LLDP-пакет с информацией о локальной системе рассылается через равные промежутки времени на
ссылка на сайт. Пакет LLDP будет содержать информацию о локальном имени хоста, идентификаторе локальной машины (как хранится
в идентификаторе машины (5)) и
имя локального интерфейса, а также красивое имя хоста системы (как установлено в
информация о машине (5)). LLDP
излучение доступно только на каналах Ethernet. Обратите внимание, что этот параметр передает данные, подходящие для
идентификация хоста в сети и поэтому не должна быть включена в ненадежных сетях, где такие
идентификационные данные не должны быть доступны.Используйте эту опцию, чтобы разрешить другим системам идентифицировать
какие интерфейсы они подключены к этой системе. Три специальных значения управляют распространением
Пакеты LLDP. Настройка « ближайший мост » разрешает распространение только до ближайшего
подключенный мост, " non-tpmr-bridge " разрешает распространение через двухпортовые реле MAC, но
никакие другие мосты, и " клиент-мост " разрешает распространение до моста клиента
достигается.Подробнее об этих концепциях см. IEEE 802.1AB-2016. Обратите внимание, что
установка этого параметра в значение "истина" эквивалентно " ближайший мост ", рекомендуемый и
самый ограниченный уровень распространения. См.  LLDP =  выше, чтобы узнать о возможности включения LLDP.
прием.
  BindCarrier = 
 Имя ссылки или список имен ссылок. Когда установлено, управляет поведением текущего
ссылка на сайт. Когда все ссылки в списке находятся в нерабочем состоянии, текущая ссылка переносится.
вниз.Когда хотя бы одна ссылка имеет носителя, отображается текущий интерфейс.
 При этом для  ActivationPolicy =  устанавливается значение « bound ».
  Адрес = 
 Статический адрес IPv4 или IPv6 и длина его префикса,
разделены символом «/». Уточнить
этот ключ более одного раза для настройки нескольких адресов.
Формат адреса должен соответствовать описанию в
inet_pton (3).Это сокращение только для раздела [Адрес]
содержащий адресный ключ (см. ниже). Этот вариант может быть
указывалось более одного раза.
 Если указан адрес « 0.0.0.0 » (для IPv4) или « :: »
(для IPv6) новый диапазон адресов запрошенного размера автоматически выделяется из
общесистемный пул неиспользуемых диапазонов. Обратите внимание, что длина префикса должна быть не меньше 8 для
IPv4 и 64 для IPv6.Выделенный диапазон проверяется на соответствие всем текущим сетевым интерфейсам и
все известные файлы конфигурации сети, чтобы избежать конфликтов диапазонов адресов. Общесистемный
пул состоит из 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8 для IPv4 и fd00 :: / 8 для IPv6.
Эта функция полезна для управления большим количеством динамически создаваемых сетевых интерфейсов.
с той же сетевой конфигурацией и автоматическим назначением диапазона адресов.
  Шлюз = 
 Адрес шлюза, который должен быть в формате
описанный в
inet_pton (3).Это сокращение для раздела [Маршрут], содержащего только
ключ шлюза. Эта опция может быть указана более чем
однажды.
  DNS = 
 Адрес DNS-сервера, который должен иметь формат, описанный в
inet_pton (3).
Эта опция может быть указана более одного раза. Каждый адрес может иметь номер порта.
разделены ": ", имя или индекс сетевого интерфейса, разделенные
«% » и указание имени сервера (SNI), разделенное « # ».Если IPv6-адрес указан с номером порта, тогда адрес должен быть в квадрате.
скобки. То есть допустимыми полными форматами являются
« 111.222.333.444:9953%ifname#example.com » для IPv4 и
« [1111:2222::3333 ]:9953%ifname#example.com » для IPv6. Если пустая строка
назначено, то все предыдущие назначения очищаются. Этот параметр читается
systemd-resolved.service (8).
  Домены = 
 Разделенный пробелами список доменов, которые следует разрешить с помощью DNS-серверов на
эта ссылка.Каждый элемент в списке должен быть доменным именем, необязательно с префиксом тильды.
(" ~ "). Домены с префиксом называются «доменами только для маршрутизации». В
домены без префикса называются "поисковыми доменами" и сначала используются в качестве суффиксов поиска для
расширение имен хостов с одной меткой (имена хостов, не содержащие точек), чтобы стать полностью квалифицированными
доменные имена (FQDN). Если на этом интерфейсе разрешено однозначное имя хоста, каждый из
указанные поисковые домены добавляются к нему по очереди, что превращает его в полностью определенный домен
имя, пока один из них не будет успешно разрешен.
 Для маршрутизации DNS-запросов используются оба домена - «поиск» и «только маршрутизация»: поиск имен хостов
оканчивающиеся на эти домены (следовательно, имена с одной меткой, если указаны какие-либо "поисковые домены"), направляются на
DNS-серверы, настроенные для этого интерфейса. Логика маршрутизации домена особенно полезна на
многосетевые хосты с DNS-серверами, обслуживающими определенные частные DNS-зоны на каждом интерфейсе.
 Домен «только для маршрутизации»  ~.  (тильда, указывающая определение домена маршрутизации,
точка, относящаяся к корневому домену DNS, который является подразумеваемым суффиксом всех допустимых имен DNS) имеет специальный
эффект.Это вызывает маршрутизацию всего трафика DNS, который не соответствует другой настроенной записи маршрутизации домена.
на DNS-серверы, указанные для этого интерфейса. Этот параметр полезен, чтобы предпочесть определенный набор DNS-серверов.
если ссылка, по которой они подключены, доступна.
 Эта настройка считывается
systemd-resolved.service (8).
«Поисковые домены» соответствуют  домену  и  поиску  записей в
resolv.conf (5).
Маршрутизация доменного имени не имеет эквивалента в традиционном API glibc, который не имеет понятия домена
серверы имен ограничены определенной ссылкой.
  DNSDefaultRoute = 
 Принимает логический аргумент. Если это правда, настроенные DNS-серверы этой ссылки используются для разрешения домена
имена, которые не соответствуют настроенному параметру  Domains =  какой-либо ссылки. Если false, эта ссылка
настроенные DNS-серверы никогда не используются для таких доменов и используются исключительно для разрешения имен, которые
соответствует хотя бы одному из доменов, настроенных по этой ссылке. Если не указано, по умолчанию используется автоматический режим:
запросы, не соответствующие настроенным доменам какой-либо ссылки, будут перенаправлены на эту ссылку, если у нее нет только маршрутизации
настроены домены.
  NTP = 
 Адрес сервера NTP (IP-адрес или имя хоста). Эта опция может быть указана более одного раза. Этот параметр читается
systemd-timesyncd.service (8).
  IPForward = 
 Настраивает пересылку IP-пакетов для
система. Если включено, входящие пакеты в любой сети
интерфейс будет перенаправлен на любые другие интерфейсы
согласно таблице маршрутизации.Принимает логическое значение,
или значения " ipv4 " или
" ipv6 ", который разрешает только IP-пакет
пересылка для указанного семейства адресов. Это контролирует  net.ipv4.ip_forward  и  net.ipv6.conf.all.forwarding  sysctl
опции сетевого интерфейса (см. ip-sysctl.txt
для получения подробной информации о параметрах sysctl). По умолчанию
« № ».
 Примечание: этот параметр управляет глобальным параметром ядра,
и делает это только одним способом: если сеть с этим параметром
enabled настроен глобальный параметр включен.Однако,
он никогда не выключается снова, даже после того, как все сети с
эта настройка включена, снова отключаются.
 Чтобы разрешить пересылку IP-пакетов только между определенными
сетевые интерфейсы используют межсетевой экран.
  IPMasquerade = 
 Настраивает маскировку IP для сетевого интерфейса. Если включено, пакеты
перенаправленные из сетевого интерфейса будут отображаться как исходящие с локального хоста. Занимает один
из « ipv4 », « ipv6 », « и » или
« № ».По умолчанию « нет ». Если включено, это автоматически устанавливает  IPForward =  на один из « ipv4 », « ipv6 » или
« да ».
 Примечание. Любые положительные логические значения, такие как « да » или
« true » теперь устарели. Используйте одно из значений, указанных выше.
  IPv6PrivacyExtensions = 
 Настраивает использование временного
адреса, которые меняются со временем (см. RFC 4941,
Расширения конфиденциальности для автоконфигурации адресов без сохранения состояния
в IPv6).Принимает логическое или специальное значение
" Prefer-Public " и
« ядро ». Когда истинно, обеспечивает конфиденциальность
расширения и предпочитает временные адреса общедоступным
адреса. Когда " Prefer-Public ", включает
расширения конфиденциальности, но предпочитает общедоступные адреса
временные адреса. Если false, расширения конфиденциальности
остаются отключенными. Когда " kernel ", ядро
настройка по умолчанию останется на месте.По умолчанию
« № ».
  IPv6AcceptRA = 
 Принимает логическое значение. Управляет поддержкой приема объявлений маршрутизатора IPv6 (RA) для
интерфейс. Если true, RA принимаются; если false, RA игнорируются. Когда RA принимаются, они могут
инициировать запуск клиента DHCPv6, если соответствующие флаги установлены в данных RA, или если нет
роутеры находятся по ссылке. По умолчанию прием RA для мостовых устройств отключен или когда IP
пересылка включена, а в противном случае - включить.Невозможно включить на устройствах связи и при ссылке
локальная адресация отключена.
 Дополнительные настройки для поддержки IPv6 RA можно настроить в разделе [IPv6AcceptRA], см.
ниже.
 Также см. Ip-sysctl.txt в ядре
документация, касающаяся " accept_ra ", но обратите внимание, что в параметрах systemd  1  (т.е. истина) соответствует настройке ядра  2 .
 Обратите внимание, что реализация в ядре протокола IPv6 RA всегда отключена,
независимо от этого параметра.Если этот параметр включен, реализация IPv6 в пользовательском пространстве
Используется протокол RA, а собственная реализация ядра остается отключенной, поскольку  systemd-networkd  необходимо знать все детали, представленные в рекламных объявлениях,
и они недоступны из ядра, если используется собственная реализация ядра.
  IPv6DuplicateAddressDetection = 
 Настраивает количество дубликатов IPv6
Зонды обнаружения адреса (DAD) для отправки.Если не задано, будет использоваться ядро по умолчанию.
  IPv6HopLimit = 
 Настраивает предел переходов IPv6. Для каждого маршрутизатора, который
пересылает пакет, лимит перехода уменьшается на 1. Когда
Поле предела переходов достигает нуля, пакет отбрасывается.
Если не задано, будет использоваться ядро по умолчанию.
  IPv4AcceptLocal = 
 Принимает логическое значение. Принимать пакеты с локальными адресами источника.В сочетании
при подходящей маршрутизации это можно использовать для направления пакетов между двумя локальными интерфейсами через
провода и принять их должным образом. Если не задано, будет использоваться ядро по умолчанию.
  IPv4RouteLocalnet = 
 Принимает логическое значение. Когда истина, ядро не считает адреса обратной петли как марсианский источник или пункт назначения.
при маршрутизации. Это позволяет использовать 127.0.0.0/8 для целей локальной маршрутизации. Если не задано, будет использоваться ядро по умолчанию.
  IPv4ProxyARP = 
 Принимает логическое значение. Настраивает ARP прокси для IPv4. Прокси-ARP - это метод, при котором один хост
обычно маршрутизатор отвечает на запросы ARP, предназначенные для другой машины. "Подделывая" свою личность,
маршрутизатор принимает на себя ответственность за маршрутизацию пакетов к «реальному» месту назначения. См. RFC 1027.
Если не задано, будет использоваться ядро по умолчанию.
  IPv6ProxyNDP = 
 Принимает логическое значение.Настраивает прокси-сервер NDP для IPv6. Прокси NDP (обнаружение соседей
Протокол) - это метод для IPv6, позволяющий маршрутизировать адреса на разные
пункт назначения, когда одноранговые узлы ожидают, что они будут присутствовать на определенном физическом канале.
В этом случае маршрутизатор отвечает на сообщения Neighbor Advertising, предназначенные для
другая машина, предлагая свой собственный MAC-адрес в качестве пункта назначения.
В отличие от прокси-ARP для IPv4, он не включен глобально, а отправляет только Neighbor
Рекламные сообщения для адресов в таблице прокси соседей IPv6,
что также может быть показано с помощью  ip -6 neighbour show proxy .systemd-networkd будет управлять переключателем proxy_ndp для каждого интерфейса для каждого настроенного
интерфейс в зависимости от этой опции.
Если не задано, будет использоваться ядро по умолчанию.
  IPv6ProxyNDPAddress = 
 Адрес IPv6, для которого будут отправляться сообщения Neighbor Advertising.
прокси. Эта опция может быть указана более одного раза. systemd-networkd добавит  IPv6ProxyNDPAddress =  записей в таблице прокси-серверов IPv6 ядра.Этот параметр подразумевает  IPv6ProxyNDP = yes , но не действует, если  IPv6ProxyNDP  имеет значение false. Если не задано, будет использоваться ядро по умолчанию.
  IPv6SendRA = 
 Следует ли включать или отключать отправку объявлений маршрутизатора по ссылке. Занимает
логическое значение. При включении префиксы настроены в разделах [IPv6Prefix] и маршрутах.
настроенные в разделах [IPv6RoutePrefix] распределяются, как определено в [IPv6SendRA]
раздел.Если  DHCPv6PrefixDelegation =  включен, то делегированный
префиксы тоже раздаются. См. Параметр  DHCPv6PrefixDelegation =  и
Разделы [IPv6SendRA], [IPv6Prefix], [IPv6RoutePrefix] и [DHCPv6PrefixDelegation] для получения дополнительной информации
варианты конфигурации.
  DHCPv6PrefixDelegation = 
 Принимает логическое значение. При включении запрашивает префиксы с помощью клиента DHCPv6.
настроил по другой ссылке.По умолчанию адрес в каждом делегированном префиксе будет
назначены, а префиксы будут объявлены через объявление маршрутизатора IPv6, когда  IPv6SendRA =  включен. Такие настройки по умолчанию можно настроить в
Раздел [DHCPv6PrefixDelegation]. По умолчанию отключено.
  IPv6MTUBytes = 
 Настраивает максимальную единицу передачи IPv6 (MTU).
Целое число, большее или равное 1280 байтам. Если не задано, будет использоваться ядро по умолчанию.
  BatmanAdvanced = ,  Bond = ,  Bridge = ,  VRF = 
 Название B.A.T.M.A.N. Расширенный интерфейс, интерфейс связи, моста или VRF для добавления ссылки
к. Видеть
systemd.netdev (5).
  IPVLAN = ,  IPVTAP = ,  L2TP = ,  MACsec = ,  MACVLAN = ,  MACVTAP = ,  Туннель = ,  VLAN = ,  VXLAN = ,  Xfrm = 
 Имя IPVLAN, IPVTAP, L2TP, MACsec, MACVLAN, MACVTAP, туннеля, VLAN, VXLAN или
Xfrm будет создан по ссылке.Видеть
systemd.netdev (5).
Эта опция может быть указана более одного раза.
  ActiveSlave = 
 Принимает логическое значение. Задает новое активное ведомое устройство. " ActiveSlave = "
опция действительна только для следующих режимов:
" активный-резервный ",
«Баланс -Альб » и
«Баланс -TLB ». По умолчанию - false.
  PrimarySlave = 
 Принимает логическое значение.Указывает, какое ведомое устройство является основным устройством. Указанный
устройство всегда будет активным ведомым устройством, пока оно доступно. Только когда
первичный выключен, будут использоваться альтернативные устройства. Это полезно, когда
одно подчиненное устройство предпочтительнее другого, например когда одно ведомое устройство имеет более высокую пропускную способность
чем другой. Параметр « PrimarySlave = » действителен только для
следующие режимы:
" активный-резервный ",
«Баланс -Альб » и
«Баланс -TLB ».По умолчанию - false.
  ConfigureWithoutCarrier = 
 Принимает логическое значение. Позволяет networkd настраивать конкретную ссылку, даже если у нее нет оператора связи.
По умолчанию - false. Если  IgnoreCarrierLoss =  не задано явно, он будет
по умолчанию это значение.
  IgnoreCarrierLoss = 
 Принимает логическое значение. Позволяет networkd сохранять как статическую, так и динамическую конфигурацию
интерфейса, даже если его носитель утерян.Если не задано, значение, указанное с помощью  ConfigureWithoutCarrier =  используется.
 Если для  ActivationPolicy =  установлено значение « всегда активен », это
принудительно " правда ".
  Xfrm = 
 Имя xfrm, создаваемого по ссылке. Видеть
systemd.netdev (5).
Эта опция может быть указана более одного раза.
  KeepConfiguration = 
 Принимает логическое значение или одно из « static », « dhcp-on-stop »,
« dhcp ».Когда " static ",  systemd-networkd  не удаляет статические адреса и маршруты при запуске процесса. При установке на
" dhcp-on-stop ",  systemd-networkd  не отбрасывает адреса
и маршруты по остановке демона. Когда " dhcp ",
адреса и маршруты, предоставленные DHCP-сервером, никогда не будут отброшены, даже если DHCP-сервер
срок аренды истекает. Это противоречит спецификации DHCP, но может быть лучшим выбором, если:
е.g., корневая файловая система полагается на это соединение. Настройка " dhcp "
подразумевает « dhcp-on-stop », а « да » подразумевает
« dhcp » и « static ». По умолчанию « нет ».
 Почему в каждом доме должен быть фильтр MoCA
 Провайдеры кабельных и Интернет-услуг по всему миру столкнулись с проблемой современных технологий, требующих более быстрых Интернет-услуг и потоковой передачи видео в свободное время.
 Все больше кабельных провайдеров обращаются к MoCA (Multimedia over Coax Alliance) в своих установках, чтобы помочь в этом, но они могут не осознавать, что им не хватает ключевого элемента - фильтров MoCA, установленных у каждого абонента.
 MoCA использует существующий в доме коаксиальный кабель для быстрой и эффективной передачи данных по дому. Соединение MoCA использует неиспользуемый частотный спектр, предлагаемый поставщиками коаксиальных услуг, чтобы расширить существующее беспроводное соединение на весь дом и снизить нагрузку на сеть.
 Отлично звучит! Так в чем же загвоздка?
 Остановите нежелательные сигналы с помощью фильтров PoE
 CPE с поддержкой MoCA (Customer Premise Equipment) отправляет носителей радиомаяков по всей домашней сети в поисках другого CPE для установления соединения. Благодаря высокой выходной мощности этих сигналов MoCA они могут передавать данные дальше, чем сеть, для которой они предназначены. Это означает, что сигналы MoCA могут ускользать от предполагаемого абонента и попадать в другие дома поблизости, если не установлены надлежащие фильтры.
 Представьте, что мать просматривает свой цифровой видеорегистратор, чтобы найти программу для своего маленького ребенка, но вместо этого находит программу, не подходящую для детей, которую никто в ее семье не спас. Эта программа была передана из сети ее соседа, потому что в одном или обоих домах не установлен фильтр PoE (точка входа). Это кошмар для провайдеров кабельного телевидения, и они видят его все чаще.
 Исправить просто. Во всех домах должен быть установлен фильтр PoE, независимо от типа настроенной сети.Фильтры PoE требуются каждому подписчику MoCA для предотвращения перекрестных помех, но сигналы MoCA все равно могут создавать помехи, если у соседа также нет фильтра.
 Лучший фильтр MoCA для надежной системы
 Некоторые абоненты знают, что кабельные компании использовали фильтры в обычных сетях для фильтрации каналов, за которые абонент не платит. Скорее всего, технические специалисты наткнулись на дом, где подписчик удалил фильтр, полагая, что это даст им больше бесплатных каналов.На самом деле они пропускают нежелательные сигналы в свою сеть и из нее.
 Чтобы избежать этой ситуации, разумным решением является заземляющий блок со встроенным фильтром MoCA. Когда фильтр присоединен к системе электрического заземления, абонент с меньшей вероятностью его снимет.
 С увеличением количества беспроводных устройств, вводимых в домашние сети по всему миру, потребители обнаруживают, что их соединения становятся медленнее и менее надежными, даже когда они платят за более высокую скорость Интернета.Интеграция MoCA в домашнюю сеть - отличный способ повысить мощность сигнала при наличии большого количества беспроводных устройств. Перекрестные помехи из-за MoCA могут быть проблемой для провайдеров, но правильно установленный фильтр MoCA поможет осчастливить всех абонентов в округе.
 Управление сетью | Citrix Hypervisor 8.2
 Процедуры настройки сети в этом разделе различаются в зависимости от того, настраиваете ли вы автономный сервер или сервер, который является частью пула ресурсов.
 Создание сетей на отдельном сервере
 Поскольку внешние сети создаются для каждого PIF во время установки хоста, создание дополнительных сетей обычно требуется только для:
 Для получения информации о том, как добавлять или удалять сети с помощью XenCenter, см. Добавление новой сети в документации XenCenter.
 Откройте текстовую консоль сервера Citrix Hypervisor.
 Создайте сеть с помощью команды network-create, которая возвращает UUID вновь созданной сети:
  xe network-create имя-метка = mynetwork
  
 На данный момент сеть не подключена к PIF и, следовательно, является внутренней.
 Создание сетей в пулах ресурсов
 Все серверы Citrix Hypervisor в пуле ресурсов должны иметь одинаковое количество физических сетевых адаптеров (NIC). Это требование не соблюдается строго, когда хост присоединяется к пулу.
 Поскольку все хосты в пуле используют общий набор сетей. Важно иметь одинаковую физическую сетевую конфигурацию для серверов Citrix Hypervisor в пуле. PIF на отдельных хостах подключаются к сетям всего пула на основе имени устройства.Например, все серверы Citrix Hypervisor в пуле с сетевым адаптером eth0 имеют соответствующий PIF, подключенный к сети  Network 0  в масштабе всего пула. То же самое верно для хостов с сетевыми адаптерами eth2 и  Network 1 , а также другими сетевыми адаптерами, присутствующими по крайней мере на одном сервере Citrix Hypervisor в пуле.
 Если один сервер Citrix Hypervisor имеет другое количество сетевых адаптеров, чем другие хосты в пуле, могут возникнуть сложности. Сложности могут возникнуть из-за того, что не все сети пула действительны для всех узлов пула.Например, если хосты  host1  и  host2  находятся в одном пуле, а  host1  имеет четыре сетевых адаптера, а  host2  только два, только сети, подключенные к PIF, соответствующие eth0 и eth2, действительны на  host2 . Виртуальные машины на  host1  с VIF, подключенными к сетям, соответствующим eth3 и eth4, не могут мигрировать на хост  host2 .
 Создать VLAN
 Для серверов в пуле ресурсов можно использовать команду  pool-vlan-create .Эта команда создает VLAN и автоматически создает и подключает необходимые PIF на хостах в пуле. Для получения дополнительной информации см.  pool-vlan-create .
 Откройте консоль сервера Citrix Hypervisor.
 Создайте сеть для использования с VLAN. Возвращается UUID новой сети:
  xe создание сети имя-метка = сеть5
  
 Используйте команду  pif-list , чтобы найти UUID PIF, соответствующего физической сетевой карте, поддерживающей желаемый тег VLAN.Возвращаются UUID и имена устройств всех PIF, включая любые существующие VLAN:
 Создайте объект VLAN, указав требуемый физический тег PIF и VLAN на всех виртуальных машинах, которые будут подключены к новой VLAN. Создается новый PIF, который подключается к указанной сети. Возвращается UUID нового объекта PIF.
  xe vlan-create network-uuid = network_uuid pif-uuid = pif_uuid vlan = 5
  
 Подключите виртуальные машины VIF к новой сети. Для получения дополнительной информации см. Создание сетей на автономном сервере.
 Создание связей NIC на автономном хосте
 Мы рекомендуем использовать XenCenter для создания связей сетевых адаптеров. Для получения дополнительной информации см. Настройка сетевых адаптеров.
 В этом разделе описывается, как использовать xe CLI для связывания интерфейсов сетевых адаптеров на серверах Citrix Hypervisor, которые не входят в пул. Для получения информации об использовании xe CLI для создания связей NIC на серверах Citrix Hypervisor, которые составляют пул ресурсов, см.  Создание связей NIC в пулах ресурсов .
 Создание облигации NIC
 Когда вы связываете NIC, связь поглощает PIF / NIC, используемый в качестве интерфейса управления.Интерфейс управления автоматически перемещается в ПИФ облигаций.
 Используйте команду  network-create , чтобы создать сеть для использования с подключенной сетевой картой. Возвращается UUID новой сети:
  xe network-create имя-метка = bond0
  
 Используйте команду  pif-list , чтобы определить UUID PIF для использования в облигации:
 Выполните одно из следующих действий:
 Чтобы настроить связь в режиме «активный-активный» (по умолчанию), используйте команду  bond-create  для создания связи.Используя запятые для разделения параметров, укажите UUID вновь созданной сети и UUID объединяемых PIF:
  xe bond-create network-uuid = network_uuid /
      pif-uuids = pif_uuid_1, pif_uuid_2, pif_uuid_3, pif_uuid_4
  
 Введите два UUID при связывании двух сетевых адаптеров и четыре UUID при связывании четырех сетевых адаптеров. UUID для облигации возвращается после выполнения команды.
 Чтобы настроить связь в режиме активного-пассивного или LACP-связывания, используйте тот же синтаксис, добавьте дополнительный параметр  mode  и укажите  lacp  или  active-backup :
  xe bond-create network-uuid = network_uuid pif-uuids = pif_uuid_1, /
      pif_uuid_2, pif_uuid_3, pif_uuid_4 /
      режим = баланс-slb | активное резервное копирование | лак
  
 Управляет MAC-адресом облигации
 Когда вы связываете интерфейс управления, он включает используемый PIF / NIC в качестве интерфейса управления.Если хост использует DHCP, MAC-адрес связи совпадает с используемым PIF / NIC. IP-адрес интерфейса управления может оставаться неизменным.
 Вы можете изменить MAC-адрес связи так, чтобы он отличался от MAC-адреса (текущей) сетевой карты интерфейса управления. Однако, когда связь включена и используемый MAC / IP-адрес изменяется, существующие сетевые сеансы с хостом отбрасываются.
 Вы можете управлять MAC-адресом облигации двумя способами:
 Необязательный параметр  mac  можно указать в команде  bond-create .Вы можете использовать этот параметр, чтобы установить MAC-адрес связи на любой произвольный адрес.
 Если параметр  mac  не указан, Citrix Hypervisor использует MAC-адрес интерфейса управления, если это один из интерфейсов в связи. Если интерфейс управления не является частью связи, но есть другой интерфейс управления, связь использует MAC-адрес (а также IP-адрес) этого интерфейса управления. Если ни один из сетевых адаптеров в связи не является интерфейсом управления, связь использует MAC первой именованной сетевой карты.
 Отменить связи сетевых адаптеров
 При возврате сервера Citrix Hypervisor к несвязанной конфигурации команда  bond-destroy  автоматически настраивает основную сетевую карту в качестве интерфейса для интерфейса управления. Таким образом, все VIF перемещаются в интерфейс управления. Если интерфейс управления хоста находится на связанном интерфейсе VLAN с тегами, при выполнении  разрушения связи  управляющая VLAN перемещается на первичный сетевой адаптер.
 Термин первичная сетевая карта относится к PIF, из которого была скопирована конфигурация MAC и IP при создании связи.При связывании двух сетевых адаптеров основной сетевой адаптер:
 Интерфейс управления NIC (если интерфейс управления является одним из связанных сетевых адаптеров).
 Любой другой сетевой адаптер с IP-адресом (если интерфейс управления не был частью связи).
 Первый названный сетевой адаптер. Вы можете узнать, какой именно, запустив следующее:
 Создание облигаций NIC в пулах ресурсов
 По возможности создавайте связи сетевых адаптеров как часть первоначального создания пула ресурсов, прежде чем присоединять к пулу другие хосты или создавать виртуальные машины.Это позволяет автоматически реплицировать конфигурацию связывания на хосты, когда они присоединяются к пулу, и сокращает количество необходимых шагов.
 Для добавления привязки сетевого адаптера к существующему пулу требуется одно из следующих действий:
 Использование интерфейса командной строки для настройки связей на главном устройстве, а затем на каждом члене пула.
 Использование интерфейса командной строки для настройки связей на главном устройстве с последующим перезапуском каждого члена пула, чтобы он унаследовал свои настройки от мастера.
 Использование XenCenter для настройки связей на главном устройстве. XenCenter автоматически синхронизирует сетевые параметры на рядовых серверах с главным, поэтому вам не нужно перезапускать рядовые серверы.
 Для простоты и предотвращения неправильной конфигурации мы рекомендуем использовать XenCenter для создания связей сетевых адаптеров. Для получения дополнительной информации см. Настройка сетевых адаптеров.
 В этом разделе описывается использование xe CLI для создания связанных интерфейсов сетевых адаптеров на серверах Citrix Hypervisor, составляющих пул ресурсов.Для получения информации об использовании xe CLI для создания связей NIC на автономном хосте см.  Создание связей NIC на автономном хосте .
  Предупреждение: 
 Не пытайтесь создавать сетевые связи, когда включен высокий уровень доступности. Процесс создания связи нарушает текущее сердцебиение высокой доступности и заставляет хосты самозащищаться (закрывать себя). Хосты могут не перезагрузиться должным образом, и для восстановления может потребоваться команда  host-Emergency-ha-disable .
 Выберите хост, который вы хотите сделать мастером. По умолчанию главный хост принадлежит к безымянному пулу. Чтобы создать пул ресурсов с помощью интерфейса командной строки, переименуйте существующий безымянный пул:
  xe pool-param-set name-label = "Новый пул" uuid = pool_uuid
  
 Создайте связь NIC, как описано в разделе Создание связи NIC.
 Откройте консоль на хосте, который вы хотите присоединить к пулу, и выполните команду:
  xe pool-join master-address = host1 master-username = root мастер-пароль = пароль
  
 Информация о сети и связях автоматически реплицируется на новый хост.Интерфейс управления автоматически перемещается с сетевого адаптера хоста, на котором он был изначально настроен, на связанный PIF. То есть интерфейс управления теперь поглощен облигацией, так что вся облигация функционирует как интерфейс управления.
 Используйте команду  host-list , чтобы найти UUID настраиваемого хоста:
  Предупреждение: 
 Не пытайтесь создавать сетевые связи, пока включен высокий уровень доступности. Процесс создания связи нарушает текущее сердцебиение высокой доступности и заставляет хосты самозащищаться (закрывать себя).Хосты могут не перезагрузиться должным образом, и вам может потребоваться выполнить команду  host-Emergency-ha-disable  для восстановления.
 Настроить выделенное хранилище NIC
 Вы можете использовать XenCenter или xe CLI, чтобы назначить сетевой карте IP-адрес и выделить его для определенной функции, например для трафика хранилища. Когда вы настраиваете сетевой адаптер с IP-адресом, вы делаете это путем создания вторичного интерфейса. (Сетевая карта Citrix Hypervisor с поддержкой IP, используемая для управления, называется интерфейсом управления.)
 Если вы хотите выделить вторичный интерфейс для определенной цели, убедитесь, что имеется соответствующая конфигурация сети. Это необходимо для того, чтобы сетевая карта использовалась только для желаемого трафика. Чтобы выделить сетевую карту для трафика хранилища, настройте сетевой адаптер, цель хранилища, коммутатор и VLAN так, чтобы цель была доступна только через назначенную сетевую карту. Если ваша физическая конфигурация и IP-конфигурация не ограничивают трафик, отправляемый через сетевую карту хранилища, вы можете отправлять трафик, например трафик управления, через дополнительный интерфейс.
 При создании нового вторичного интерфейса для трафика хранилища необходимо назначить ему IP-адрес:
 В той же подсети, что и контроллер хранилища, если применимо, и
 Не в той же подсети, что и другие вторичные интерфейсы или интерфейс управления.
 При настройке вторичных интерфейсов каждый вторичный интерфейс должен находиться в отдельной подсети. Например, если вы хотите настроить еще два вторичных интерфейса для хранения, вам потребуются IP-адреса в трех разных подсетях: одна подсеть для интерфейса управления, одна подсеть для вторичного интерфейса 1 и одна подсеть для вторичного интерфейса 2.
 Если вы используете связывание для обеспечения отказоустойчивости трафика хранилища, вы можете рассмотреть возможность использования LACP вместо связывания моста Linux. Чтобы использовать связывание LACP, вы должны настроить vSwitch в качестве сетевого стека. Для получения дополнительной информации см. Сети vSwitch.
  Примечание: 
 При выборе сетевого адаптера для настройки в качестве вторичного интерфейса для использования с iSCSI или NFS SR убедитесь, что выделенный сетевой адаптер использует отдельную IP-подсеть, которая не маршрутизируется из интерфейса управления.Если это не принудительно, то трафик хранилища может быть направлен через главный интерфейс управления после перезапуска хоста из-за порядка, в котором инициализируются сетевые интерфейсы.
 Убедитесь, что PIF находится в отдельной подсети, или маршрутизация настроена в соответствии с топологией вашей сети, чтобы принудительно передавать желаемый трафик через выбранный PIF.
 Настройте IP-конфигурацию для PIF, добавив соответствующие значения для параметра режима. При использовании статической IP-адресации добавьте параметры IP, сетевой маски, шлюза и DNS:
  xe pif-reconfigure-ip mode = DHCP | Статический uuid = pif-uuid
  
 Установите для параметра PIF disallow-unplug значение true:
  xe pif-param-set disallow-unplug = true uuid = pif-uuid
  
  xe pif-param-set other-config: management_purpose = "Хранилище" uuid = pif-uuid
  
 Если вы хотите использовать вторичный интерфейс для хранилища, который также может быть маршрутизирован из интерфейса управления (учитывая, что эта конфигурация не лучшая практика), у вас есть два варианта:
 После перезапуска хоста убедитесь, что вторичный интерфейс настроен правильно.Используйте команды  xe pbd-unplug  и  xe pbd-plug  для повторной инициализации подключений к хранилищу на хосте. Эта команда перезапускает соединение с хранилищем и направляет его через правильный интерфейс.
 В качестве альтернативы можно использовать  xe pif-Forgot , чтобы удалить интерфейс из базы данных Citrix Hypervisor и вручную настроить его в домене управления.  xe pif-Forgot  - это расширенный вариант, требующий от вас знания того, как настроить сеть Linux вручную.
 Используйте сетевые адаптеры с поддержкой SR-IOV
 Single Root I / O Virtualization (SR-IOV) - это технология виртуализации, которая позволяет одному устройству PCI выступать в качестве нескольких устройств PCI в физической системе. Фактическое физическое устройство известно как физическая функция (PF), а другие - как виртуальные функции (VF). Гипервизор может назначить одну или несколько виртуальных функций виртуальной машине (ВМ): затем гость может использовать устройство, как если бы оно было назначено напрямую.
 Назначение одной или нескольких VF сетевых адаптеров виртуальной машине позволяет ее сетевому трафику обходить виртуальный коммутатор.При настройке каждая виртуальная машина ведет себя так, как если бы она напрямую использовала сетевой адаптер, уменьшая накладные расходы на обработку и повышая производительность.
 Преимущества SR-IOV
 SR-IOV VF имеет лучшую производительность, чем VIF. Он может обеспечить аппаратное разделение трафика от разных виртуальных машин через одну и ту же сетевую карту (минуя сетевой стек Citrix Hypervisor).
 Используя эту функцию, вы можете:
 Включите SR-IOV на сетевых адаптерах, поддерживающих SR-IOV.
 Отключите SR-IOV на сетевых адаптерах, поддерживающих SR-IOV.
 Управление VF SR-IOV как пулом ресурсов VF.
 Назначьте виртуальные машины SR-IOV для виртуальной машины.
 Настройте SR-IOV VF (например, MAC-адрес, VLAN, скорость).
 Выполните тесты, чтобы подтвердить, поддерживается ли SR-IOV как часть комплекта автоматической сертификации.
 Конфигурация системы
 Правильно настройте аппаратную платформу для поддержки SR-IOV. Требуются следующие технологии:
 Виртуализация MMU ввода-вывода (AMD-Vi и Intel VT-d)
 Альтернативная интерпретация идентификатора маршрутизации (ARI)
 Услуги перевода адресов (ATS)
 Службы контроля доступа (ACS)
 Обратитесь к документации, прилагаемой к вашей системе, для получения информации о том, как настроить BIOS для включения упомянутых технологий.
 Включение сети SR-IOV на сетевой карте
 В XenCenter используйте мастер  New Network  на вкладке  Networking , чтобы создать и включить сеть SR-IOV на сетевой карте.
 Назначьте сеть SR-IOV виртуальному интерфейсу (уровень ВМ)
 В XenCenter на уровне виртуальной машины используйте мастер  Добавить виртуальный интерфейс  на вкладке  Networking , чтобы добавить сеть с поддержкой SR-IOV в качестве виртуального интерфейса для этой виртуальной машины. Для получения дополнительной информации см. Добавление новой сети.
 Поддерживаемые сетевые карты и гости
 Список поддерживаемых аппаратных платформ и сетевых адаптеров см. В разделе «Список совместимого оборудования». См. Документацию, предоставленную поставщиком для конкретного гостя, чтобы определить, поддерживает ли он SR-IOV.
 Ограничения
 Для некоторых сетевых адаптеров, использующих устаревшие драйверы (например, семейство Intel I350), необходимо перезагрузить хост, чтобы включить или отключить SR-IOV на этих устройствах.
 SR-IOV поддерживает только гостевые системы HVM.
 Сеть SR-IOV уровня пула с различными типами сетевых адаптеров не поддерживается.
 VF SR-IOV и обычный VIF от одного и того же сетевого адаптера могут быть не в состоянии взаимодействовать друг с другом из-за аппаратных ограничений сетевого адаптера. Чтобы эти хосты могли обмениваться данными, убедитесь, что для связи используется шаблон VF в VF или VIF в VIF, а не VF в VIF.
 Параметры качества обслуживания для некоторых VF SR-IOV не вступают в силу, поскольку они не поддерживают ограничение скорости сети.
 Выполнение динамической миграции, приостановки и контрольной точки не поддерживается на виртуальных машинах, использующих SR-IOV VF.
 SR-IOV VF не поддерживают горячее подключение.
 Для некоторых сетевых адаптеров с устаревшими драйверами сетевых адаптеров может потребоваться перезагрузка даже после перезапуска хоста, что указывает на то, что сетевая карта не может включить SR-IOV.
 Виртуальные машины, созданные в предыдущих выпусках, не могут использовать эту функцию XenCenter.
 Если ваша виртуальная машина имеет SR-IOV VF, функции, требующие динамической миграции, невозможны. Это связано с тем, что виртуальная машина напрямую привязана к физической VF сетевой карты с включенным SR-IOV.
 Аппаратное ограничение: функция SR-IOV использует контроллер для сброса функций устройства в исходное состояние в течение 100 мс по запросу гипервизора с помощью функции сброса уровня функций (FLR).
 SR-IOV можно использовать в среде, в которой используется высокая доступность.Однако SR-IOV не учитывается при планировании мощности. Виртуальные машины, которым назначены виртуальные функции SR-IOV, перезапускаются по мере возможности, когда в пуле есть хост, имеющий соответствующие ресурсы. Эти ресурсы включают SR-IOV, включенный в правой сети, и бесплатный VF.
 Настройка VF SR-IOV для устаревших драйверов
 Обычно максимальное количество VF, которое может поддерживать сетевая карта, может быть определено автоматически. Для сетевых адаптеров, использующих устаревшие драйверы (например, семейство Intel I350), ограничение определяется в файле конфигурации модуля драйвера.Предел может потребоваться отрегулировать вручную. Чтобы установить максимальное значение, откройте файл с помощью редактора и измените строку, начинающуюся:
 Например, чтобы установить максимальное количество VF на 4 для драйвера  igb , отредактируйте файл  /etc/modprobe.d/igb.conf  на чтение:
  ## VFs-param: max_vfs
## VFs-maxvfs-по умолчанию: 7
## VFs-maxvfs-by-user: 4
параметры igb max_vfs = 0
  
  Примечания: 
 Значение должно быть меньше или равно значению в строке  VFs-maxvfs-по умолчанию .
 Не изменяйте никакие другие строки в этих файлах.
 Внесите изменения перед включением SR-IOV.
 CLI
 См. Команды SR-IOV для инструкций интерфейса командной строки по созданию, удалению, отображению сетей SR-IOV и назначению SR-IOV VF для виртуальной машины.
 Контроль скорости исходящих данных (QoS)
 Чтобы ограничить количество исходящих  данных , которые виртуальная машина может отправлять в секунду, установите дополнительное значение качества обслуживания (QoS) для виртуальных интерфейсов виртуальных машин (VIF).Параметр позволяет указать максимальную скорость передачи исходящих пакетов в  килобайт  в секунду.
 Значение качества обслуживания ограничивает скорость передачи  от  виртуальной машины. Параметр «Качество обслуживания» не ограничивает объем данных, которые может получить виртуальная машина. Если такой предел желателен, мы рекомендуем ограничить скорость входящих пакетов выше в сети (например, на уровне коммутатора).
 В зависимости от сетевого стека, настроенного в пуле, вы можете установить значение качества обслуживания для виртуальных интерфейсов виртуальных машин (VIF) в одном из двух мест.Либо с помощью xe CLI, либо в XenCenter).
  XenCenter  Вы можете установить предельное значение скорости передачи для качества обслуживания в диалоговом окне свойств виртуального интерфейса.
 Команды  xe  Скорость передачи качества обслуживания можно установить с помощью интерфейса командной строки, используя команды из следующего раздела.
 Пример команды CLI для QoS
 Чтобы ограничить VIF максимальной скоростью передачи 100 килобайт в секунду с помощью интерфейса командной строки, используйте команду  vif-param-set :
  xe vif-param-set uuid = vif_uuid qos_algorithm_type = ratelimit
xe vif-param-set uuid = vif_uuid qos_algorithm_params: kbps = 100
  
 Изменить параметры конфигурации сети
 В этом разделе обсуждается, как изменить сетевую конфигурацию вашего сервера Citrix Hypervisor.Включает:
 Изменение имени хоста (то есть имени системы доменных имен (DNS))
 Добавление или удаление DNS-серверов
 Изменение IP-адресов
 Изменение того, какая сетевая карта используется в качестве интерфейса управления
 Добавление новой физической сетевой карты к серверу
 Добавление цели в сеть
 Включение фильтрации ARP (блокировка порта коммутатора)
 Имя хоста
 Имя хоста системы, также известное как имя домена или DNS, определяется в базе данных всего пула и изменяется с помощью команды CLI  xe host-set-hostname-live  следующим образом:
  xe host-set-hostname-live host-uuid = host_uuid имя-хоста = имя-хоста
  
 Базовое имя хоста управляющего домена динамически изменяется в соответствии с новым именем хоста.
 DNS сервера
 Чтобы добавить или удалить DNS-серверы в конфигурации IP-адресации сервера Citrix Hypervisor, используйте команду  pif-reconfigure-ip . Например, для PIF со статическим IP:
  xe pif-reconfigure-ip uuid = pif_uuid mode = static DNS = new_dns_ip
  
 Изменить конфигурацию IP-адреса для автономного хоста
 Вы можете использовать xe CLI для изменения конфигурации сетевого интерфейса. Не изменяйте напрямую базовые сценарии конфигурации сети.
 Чтобы изменить конфигурацию IP-адреса PIF, используйте команду CLI  pif-reconfigure-ip . См.  pif-reconfigure-ip  для получения подробной информации о параметрах команды  pif-reconfigure-ip . См. Следующий раздел для получения информации об изменении IP-адресов хоста в пулах ресурсов.
 Изменить конфигурацию IP-адреса в пулах ресурсов
 Серверы Citrix Hypervisor в пулах ресурсов имеют один управляющий IP-адрес, используемый для управления и связи с другими хостами в пуле.Шаги, необходимые для изменения IP-адреса интерфейса управления хостом, различны для главного и других хостов.
  Примечание: 
 Будьте осторожны при изменении IP-адреса сервера и других сетевых параметров. В зависимости от топологии сети и внесенных изменений соединения с сетевым хранилищем могут быть потеряны. В этом случае необходимо повторно подключить хранилище с помощью функции  Восстановить хранилище  в XenCenter или с помощью команды  pbd-plug  CLI.По этой причине мы рекомендуем вам перенести виртуальные машины с сервера перед изменением его IP-конфигурации.
 Используйте команду CLI  pif-reconfigure-ip , чтобы установить желаемый IP-адрес. См.  pif-reconfigure-ip  для получения подробной информации о параметрах команды  pif-reconfigure-ip . :
  xe pif-reconfigure-ip uuid = pif_uuid mode = DHCP
  
 Используйте команду интерфейса командной строки  host-list , чтобы подтвердить, что узел-член успешно повторно подключился к главному узлу, проверив, что все другие серверы Citrix Hypervisor в пуле видны:
 Для изменения IP-адреса главного сервера Citrix Hypervisor требуются дополнительные действия.Это связано с тем, что каждый член пула использует для связи объявленный IP-адрес мастера пула. Члены пула не знают, как связаться с мастером при изменении его IP-адреса.
 По возможности используйте выделенный IP-адрес, который вряд ли изменится в течение срока службы пула для мастеров пула.
 Используйте команду CLI  pif-reconfigure-ip , чтобы установить желаемый IP-адрес:
  xe pif-reconfigure-ip uuid = pif_uuid mode = DHCP
  
 Когда IP-адрес ведущего узла пула изменяется, все узлы-участники переходят в аварийный режим, когда им не удается связаться с ведущим узлом.
 На главном устройстве пула используйте команду  pool-recovery-slaves , чтобы заставить главное устройство связаться с каждым членом пула и сообщить им новый IP-адрес главного устройства:
 Интерфейс управления
 Когда Citrix Hypervisor установлен на хосте с несколькими сетевыми картами, одна сетевая карта выбирается для использования в качестве интерфейса управления. Интерфейс управления используется для подключений XenCenter к хосту и для связи между хостами.
 Используйте команду  pif-list , чтобы определить, какой PIF соответствует сетевой карте, которая будет использоваться в качестве интерфейса управления.Возвращается UUID каждого PIF.
 Используйте команду  pif-param-list , чтобы проверить конфигурацию IP-адресации для PIF, используемого для интерфейса управления. При необходимости используйте команду  pif-reconfigure-ip  для настройки IP-адресации для используемого PIF.
  xe список-параметров-pif uuid = pif_uuid
  
 Используйте команду  host-management-reconfigure  CLI, чтобы изменить PIF, используемый для интерфейса управления. Если этот хост является частью пула ресурсов, , эта команда должна быть запущена на консоли хоста-члена :
  xe host-management-reconfigure pif-uuid = pif_uuid
  
 Используйте команду  network-list , чтобы определить, какой PIF соответствует сетевому адаптеру, который будет использоваться в качестве интерфейса управления для всех хостов в пуле.Возвращается UUID сети в масштабе пула.
 Используйте команду  network-param-list  для получения UUID PIF всех хостов в пуле. Используйте команду  pif-param-list , чтобы проверить конфигурацию IP-адресации для PIF для интерфейса управления. При необходимости используйте команду  pif-reconfigure-ip  для настройки IP-адресации для используемого PIF.
  xe список-параметров-pif uuid = pif_uuid
  
 Используйте команду интерфейса командной строки  pool-management-reconfigure , чтобы изменить PIF, используемый для интерфейса управления, указанного в списке «Сети».
  xe пул-управление-перенастроить сеть-uuid = network_uuid
  
 Отключить доступ к управлению
 Чтобы полностью отключить удаленный доступ к консоли управления, используйте команду интерфейса командной строки  host-management-disable .
  Предупреждение: 
 Когда интерфейс управления отключен, вы должны войти в консоль физического хоста для выполнения задач управления. Внешние интерфейсы, такие как XenCenter, не работают, когда интерфейс управления отключен.
 Добавить новую физическую сетевую карту
 Установите новую физическую сетевую карту на сервере Citrix Hypervisor обычным способом. После перезапуска сервера запустите команду xe CLI  pif-scan , чтобы создать новый объект PIF для нового сетевого адаптера.
 Удалить физический сетевой адаптер
 Перед удалением сетевой карты убедитесь, что вам известен UUID соответствующего PIF. Удалите физический сетевой адаптер с сервера Citrix Hypervisor обычным способом. После перезапуска сервера запустите команду xe CLI  pif-forget uuid =  , чтобы уничтожить объект PIF.
 Добавить цель в сеть
 Сетевое назначение может использоваться для добавления в сеть дополнительных функций. Например, возможность использовать сеть для установления соединений NBD.
 Чтобы добавить сетевое назначение, используйте команду  xe network-param-add :
  xe network-param-add имя-параметра = цель-ключ-параметр = цель uuid = network-uuid
  
 Чтобы удалить сетевое назначение, используйте команду  xe network-param-remove :
  xe network-param-remove имя-параметра = цель-ключ-параметр = цель uuid = сеть-uuid
  
 В настоящее время для сетевых целей доступны значения  nbd  и  insecure_nbd .Для получения дополнительной информации см. Руководство по отслеживанию измененных блоков в гипервизоре Citrix.
 Использовать блокировку порта коммутатора
 Функция блокировки порта коммутатора Citrix Hypervisor позволяет контролировать трафик, отправляемый с неизвестных, ненадежных или потенциально враждебных виртуальных машин, ограничивая их возможность делать вид, что у них есть MAC или IP-адрес, который им не был назначен. Вы можете использовать команды блокировки портов, чтобы заблокировать весь трафик в сети по умолчанию или определить определенные IP-адреса, с которых отдельной виртуальной машине разрешено отправлять трафик.
 Блокировка порта коммутатора - это функция, разработанная для поставщиков общедоступных облачных услуг в средах, обеспокоенных внутренними угрозами. Эта функция помогает поставщикам общедоступных облачных услуг, которые имеют сетевую архитектуру, в которой каждая виртуальная машина имеет общедоступный IP-адрес, подключенный к Интернету. Поскольку у облачных клиентов нет доверия, вы можете использовать такие меры безопасности, как защиту от спуфинга, чтобы гарантировать, что клиенты не смогут атаковать другие виртуальные машины в облаке.
 Использование блокировки портов коммутатора позволяет упростить конфигурацию сети, позволяя всем вашим клиентам или гостям использовать одну и ту же сеть уровня 2.
 Одна из наиболее важных функций команд блокировки портов - они могут ограничивать трафик, отправляемый ненадежным гостем. Это ограничивает возможность гостя притвориться, что у него есть MAC или IP-адрес, которым он на самом деле не обладает. В частности, вы можете использовать эти команды, чтобы запретить гостю:
 Требование IP или MAC-адреса, отличного от тех, которые указал администратор Citrix Hypervisor, он может использовать
 Перехват, подмена или нарушение трафика других виртуальных машин
 Требования
 Функция блокировки портов коммутатора Citrix Hypervisor поддерживается в сетевых стеках моста Linux и vSwitch.
 При включении управления доступом на основе ролей (RBAC) в своей среде пользователь, настраивающий блокировку портов коммутатора, должен войти в систему с учетной записью, которая имеет как минимум роль оператора пула или администратора пула. Если RBAC не включен в вашей среде, пользователь должен войти в систему с учетной записью root для мастера пула.
 Когда вы запускаете команды блокировки порта коммутатора, сети могут быть в оперативном или автономном режиме.
 В гостевых системах Windows значок отключенной сети отображается только в том случае, если в гостевой системе установлены инструменты Citrix VM.
 Банкноты
 Без каких-либо конфигураций блокировки портов коммутатора для VIF установлено значение «network_default», а для сетей установлено значение «разблокировано».
 Настройка блокировки порта коммутатора не поддерживается, если в среде используются контроллеры сторонних производителей.
 Блокировка порта коммутатора не препятствует облачным клиентам:
 Выполнение атаки на уровне IP на другого арендатора / пользователя. Однако блокировка порта коммутатора не позволяет им выполнить атаку на уровне IP, если они попытаются использовать для этого следующие средства и настроена блокировка порта коммутатора: а) олицетворение другого клиента в облаке или пользователя или б) инициирование перехвата трафик, предназначенный для другого пользователя.
 Истощение сетевых ресурсов.
 Получение некоторого трафика, предназначенного для других виртуальных машин, посредством обычного поведения коммутатора лавинной рассылки (для широковещательных MAC-адресов или неизвестных MAC-адресов назначения).
 Аналогично, блокировка порта коммутатора не ограничивает, куда виртуальная машина может отправлять трафик.
 Примечания по реализации
 Функцию блокировки порта коммутатора можно реализовать с помощью командной строки или Citrix Hypervisor API.Однако в больших средах, где автоматизация является первоочередной задачей, наиболее типичным методом реализации может быть использование API.
 Примеры
 В этом разделе приведены примеры того, как блокировка порта коммутатора может предотвратить определенные типы атак. В этих примерах VM-c - это виртуальная машина, которую враждебный клиент (Tenant C) арендует и использует для атак. VM-a и VM-b - это виртуальные машины, арендованные не атакующими арендаторами.
  Пример 1: Как блокировка порта коммутатора может предотвратить предотвращение спуфинга ARP: 
 Подмена ARP используется для обозначения попыток злоумышленника связать свой MAC-адрес с IP-адресом другого узла.Подмена ARP может потенциально привести к тому, что трафик узла будет отправляться злоумышленнику. Для достижения этой цели злоумышленник отправляет поддельные (поддельные) сообщения ARP в локальную сеть Ethernet.
  Сценарий :
 Виртуальная машина A (VM-a) хочет отправить IP-трафик с VM-a на виртуальную машину B (VM-b), адресовав его на IP-адрес VM-b. Владелец виртуальной машины C хочет использовать ARP-спуфинг, чтобы представить, что его виртуальная машина, VM-c, на самом деле является VM-b.
 VM-c отправляет предположительный поток ответов ARP на VM-a.В ответах ARP утверждается, что MAC-адрес в ответе (c_MAC) связан с IP-адресом, b_IP
. Результат: поскольку администратор включил блокировку порта коммутатора, все эти пакеты отбрасываются, поскольку включение блокировки порта коммутатора предотвращает олицетворение.
 VM-b отправляет ответ ARP на VM-a, утверждая, что MAC-адрес в ответе (b_MAC) связан с IP-адресом b_IP.
 Результат: VM-a получает ответ ARP VM-b.
  Пример 2: Предотвращение IP-спуфинга: 
 Подмена IP-адреса - это процесс, который скрывает идентичность пакетов путем создания пакетов Интернет-протокола (IP) с поддельным исходным IP-адресом.
  Сценарий :
 Tenant C пытается выполнить атаку типа «отказ в обслуживании», используя свой хост Host-C в удаленной системе, чтобы скрыть свою личность.
  Попытка 1: 
 Тенант C устанавливает IP-адрес и MAC-адрес хоста C равными IP и MAC-адресам VM-a (a_IP и a_MAC).Тенант C инструктирует Host-C отправлять IP-трафик в удаленную систему.
 Результат: пакеты Host-C отброшены. Это связано с тем, что администратор включил блокировку портов коммутатора. Пакеты Host-C отбрасываются, поскольку включение блокировки порта коммутатора предотвращает олицетворение.
  Попытка 2: 
 Тенант C устанавливает IP-адрес Host-C на IP-адрес VM-a (a_IP) и сохраняет их исходный c_MAC.
 Tenant C инструктирует Host-C отправлять IP-трафик в удаленную систему.
 Результат: пакеты Host-C отброшены. Это связано с тем, что администратор включил блокировку порта коммутатора, которая предотвращает выдачу себя за другое лицо.
  Пример 3: Веб-хостинг: 
 Сценарий:
 Алиса - администратор инфраструктуры.
 Один из ее арендаторов, Tenant B, размещает несколько веб-сайтов на своей виртуальной машине VM-b. Каждому веб-сайту нужен отдельный IP-адрес, размещенный в одном и том же виртуальном сетевом интерфейсе (VIF).
 Алиса перенастраивает VIF хоста B так, чтобы он был привязан к одному MAC, но множеству IP-адресов.
 Как работает блокировка порта коммутатора
 Функция блокировки порта коммутатора позволяет управлять фильтрацией пакетов на одном или нескольких из двух уровней:
  Уровень VIF . Параметры, которые вы настраиваете на VIF, определяют, как пакеты фильтруются. Вы можете настроить VIF так, чтобы виртуальная машина не отправляла какой-либо трафик, ограничить VIF, чтобы он мог отправлять трафик только с использованием назначенного ей IP-адреса, или разрешить виртуальной машине отправлять трафик на любой IP-адрес в сети, подключенной к VIF.
  Сетевой уровень . Сеть Citrix Hypervisor определяет способ фильтрации пакетов. Когда режим блокировки VIF установлен на  network_default , это относится к настройке блокировки на уровне сети, чтобы определить, какой трафик разрешить.
 Независимо от того, какой сетевой стек вы используете, функция работает одинаково. Однако, как более подробно описано в следующих разделах, мост Linux не полностью поддерживает блокировку портов коммутатора в IPv6.
 Состояния режима блокировки VIF
 Функция блокировки портов коммутатора Citrix Hypervisor обеспечивает режим блокировки, который позволяет настраивать VIF в четырех различных состояниях. Эти состояния применяются только тогда, когда VIF подключен к работающей виртуальной машине.
  Network_default . Когда состояние VIF установлено на  network_default , Citrix Hypervisor использует сетевой параметр  default-lock-mode , чтобы определить, нужно ли и как фильтровать пакеты, проходящие через VIF.Поведение различается в зависимости от того, имеет ли связанная сеть параметр режима блокировки по умолчанию для сети, установленный на отключенный или разблокированный:
– режим блокировки по умолчанию  =  отключен , Citrix Hypervisor применяет правило фильтрации, чтобы VIF отбрасывал весь трафик.
– default-lock-mode  = unlocked, Citrix Hypervisor удаляет все правила фильтрации, связанные с VIF. По умолчанию параметр режима блокировки по умолчанию установлен на  разблокировано .
 Для получения информации о параметре  default-lock-mode  см. Сетевые команды.
 Режим блокировки сети по умолчанию не влияет на подключенные VIF, состояние блокировки которых отличается от  network_default .
  Примечание: 
 Вы не можете изменить  режим блокировки по умолчанию  сети, к которой подключены активные VIF.
  Заблокировано .Citrix Hypervisor применяет правила фильтрации, так что только трафик, отправляемый с / на указанные MAC- и IP-адреса, может отправляться через VIF. В этом режиме, если IP-адреса не указаны, виртуальная машина не может отправлять какой-либо трафик через этот VIF в этой сети.
 Чтобы указать IP-адреса, с которых VIF принимает трафик, используйте IP-адреса IPv4 или IPv6 с помощью параметров  ipv4_allowed  или  ipv6_allowed . Однако, если у вас настроен мост Linux, не вводите адреса IPv6.
 Citrix Hypervisor позволяет вводить адреса IPv6, когда мост Linux активен. Однако Citrix Hypervisor не может фильтровать на основе введенных адресов IPv6. Причина в том, что у моста Linux нет модулей для фильтрации пакетов протокола обнаружения соседей (NDP). Следовательно, полная защита не может быть реализована, и гости смогут выдавать себя за другого гостя, подделывая пакеты NDP. В результате, если вы укажете хотя бы один адрес IPv6, Citrix Hypervisor пропускает весь трафик IPv6 через VIF.Если вы не укажете адреса IPv6, Citrix Hypervisor не пропускает трафик IPv6 в VIF.
  разблокирован . Весь сетевой трафик может проходить через VIF. То есть никакие фильтры не применяются ни к какому трафику, идущему в VIF или из него.
  Отключено . Трафик не может проходить через VIF. (То есть Citrix Hypervisor применяет правило фильтрации, чтобы VIF отбрасывал весь трафик.)
 Настроить блокировку порта коммутатора
 В этом разделе представлены три различных процедуры:
 Ограничить VIF на использование определенного IP-адреса
 Добавить IP-адрес в существующий список ограничений.Например, чтобы добавить IP-адрес в VIF, когда виртуальная машина работает и подключена к сети (например, если вы временно отключаете сеть).
 Удалить IP-адрес из существующего ограниченного списка
 Если для VIF установлен режим блокировки  заблокирован , он может использовать только адреса, указанные в параметрах  ipv4-allowed  или  ipv6-allowed .
 Поскольку в некоторых относительно редких случаях VIF может иметь более одного IP-адреса, можно указать несколько IP-адресов для VIF.
 Эти процедуры можно выполнить до или после подключения VIF (или запуска виртуальной машины).
 Измените режим блокировки по умолчанию на заблокированный, если он еще не использует этот режим, выполнив следующую команду:
  xe vif-param-set uuid = vif-uuid режим блокировки = заблокирован
  
  vif-uuid  представляет UUID VIF, которому вы хотите разрешить отправку трафика. Чтобы получить UUID, запустите на хосте команду xe  vif-list . vm-uuid  Указывает виртуальную машину, для которой отображается информация. Идентификатор устройства указывает номер устройства VIF.
 Запустите команду  vif-param-set , чтобы указать IP-адреса, с которых виртуальная машина может отправлять трафик. Выполните одно или несколько из следующих действий:
 Вы можете указать несколько IP-адресов, разделив их запятыми, как показано в предыдущем примере.
 После выполнения процедуры ограничения VIF для использования определенного IP-адреса вы можете добавить один или несколько IP-адресов, которые VIF может использовать.
 Запустите команду  vif-param-add , чтобы добавить IP-адреса в существующий список. Выполните одно или несколько из следующих действий:
 Если вы ограничиваете VIF использованием двух или более IP-адресов, вы можете удалить один из этих IP-адресов из списка.
 Запустите команду  vif-param-remove , чтобы удалить IP-адреса из существующего списка. Выполните одно или несколько из следующих действий:
 Запретить виртуальной машине отправлять или получать трафик из определенной сети
 Следующая процедура предотвращает обмен данными виртуальной машины через определенный VIF.Поскольку VIF подключается к определенной сети Citrix Hypervisor, вы можете использовать эту процедуру, чтобы запретить виртуальной машине отправлять или получать любой трафик из определенной сети. Это обеспечивает более детальный уровень контроля, чем отключение всей сети.
 Если вы используете команду CLI, вам не нужно отключать VIF, чтобы установить режим блокировки VIF. Команда изменяет правила фильтрации во время работы VIF. В этом случае сетевое соединение по-прежнему присутствует, однако VIF отбрасывает все пакеты, которые виртуальная машина пытается отправить.
  Наконечник: 
 Чтобы найти UUID VIF, запустите на хосте команду xe  vif-list . Идентификатор устройства указывает номер устройства VIF.
 Чтобы предотвратить получение трафика VIF, отключите VIF, подключенный к сети, из которой вы хотите, чтобы виртуальная машина не принимала трафик:
  xe vif-param-set uuid = vif-uuid режим блокировки = отключен
  
 Вы также можете отключить VIF в XenCenter, выбрав виртуальный сетевой интерфейс на вкладке «Сеть» виртуальной машины и нажав «Деактивировать».
 Снять ограничение VIF на IP-адрес
 Чтобы вернуться к состоянию режима блокировки по умолчанию (исходному), используйте следующую процедуру. По умолчанию, когда вы создаете VIF, Citrix Hypervisor настраивает его так, чтобы он не ограничивался использованием определенного IP-адреса.
 Чтобы вернуть VIF в разблокированное состояние, измените режим блокировки VIF по умолчанию на разблокированный. Если он еще не использует этот режим, выполните следующую команду:
  xe vif-param-set uuid = vif_uuid режим блокировки = разблокирован
  
 Упростите настройку режима блокировки VIF в облаке
 Вместо того, чтобы запускать команды режима блокировки VIF для каждого VIF, вы можете убедиться, что все VIF отключены по умолчанию.Для этого необходимо изменить фильтрацию пакетов на сетевом уровне. Изменение фильтрации пакетов заставляет сеть Citrix Hypervisor определять способ фильтрации пакетов, как описано в предыдущем разделе  Как работает блокировка порта коммутатора .
 В частности, настройка  default-lock-mode сети  определяет, как будут вести себя новые VIF с настройками по умолчанию. Всякий раз, когда для режима блокировки  VIF  установлено значение  по умолчанию , VIF обращается к режиму сетевой блокировки ( default-lock-mode ), чтобы определить, следует ли и как фильтровать пакеты, проходящие через VIF:
  разблокирован .Когда для параметра  default-lock-mode сети  установлено значение  unlocked , Citrix Hypervisor позволяет виртуальной машине отправлять трафик на любой IP-адрес в сети, к которой подключается VIF.
  Отключено . Когда для параметра  default-lock-mode  установлено значение  disabled , Citrix Hypervisor применяет правило фильтрации, чтобы VIF отбрасывал весь трафик.
 По умолчанию  режим блокировки по умолчанию  для всех сетей, созданных в XenCenter и использующих интерфейс командной строки, установлен на  разблокирован .
 Установив режим блокировки VIF по умолчанию ( network_default ), вы можете создать базовую конфигурацию по умолчанию (на уровне сети) для всех вновь созданных VIF, которые подключаются к определенной сети. На этой иллюстрации показано, как, когда для режима блокировки   VIF задано значение по умолчанию ( network_default ), VIF использует режим  блокировки по умолчанию сети  для определения своего поведения.
 Например, по умолчанию VIF создаются с  режимом блокировки , установленным на  network_default .Если вы установите для сети  default-lock-mode  =  disabled , все новые VIF, для которых вы не настроили режим блокировки, будут отключены. VIF остаются отключенными до тех пор, пока вы либо (a) не измените параметр  режима блокировки отдельного VIF , либо (b) явно не установите режим блокировки  VIF  на `unlocked. Это полезно, когда вы достаточно доверяете конкретной виртуальной машине и не хотите вообще фильтровать ее трафик.
  Чтобы изменить настройку режима блокировки сети по умолчанию: 
 После создания сети измените режим блокировки по умолчанию, выполнив следующую команду:
  xe network-param-set uuid = network-uuid default-lock-mode = [unlocked | disabled]
  
  Примечание: 
 Чтобы получить UUID для сети, выполните команду xe  network-list .Эта команда отображает UUID для всех сетей на хосте, на котором вы запустили команду.
  Чтобы проверить настройку режима блокировки по умолчанию для сети: 
 Выполните одну из следующих команд:
  xe network-param-get uuid = network-uuid имя-параметра = режим блокировки по умолчанию
  
 ИЛИ
  xe список-сетей uuid = network-uuid params = режим блокировки по умолчанию
  
 Использовать сетевые настройки для фильтрации VIF-трафика
 Следующая процедура инструктирует VIF на виртуальной машине использовать настройки Citrix Hypervisor network  default-lock-mode  в самой сети, чтобы определить, как фильтровать трафик.
 Измените состояние блокировки VIF на  network_default , если он уже не использует этот режим, выполнив следующую команду:
  xe vif-param-set uuid = vif_uuid режим блокировки = network_default
  
 Измените режим блокировки по умолчанию на  разблокирован , если он уже не использует этот режим, выполнив следующую команду:
  xe набор сетевых параметров uuid = сетевой uuid режим блокировки по умолчанию = разблокирован
  
.

Срок	Определение
PF	Физическая функция. Физический контроллер Ethernet, поддерживающий SR-IOV.
VF	Виртуальная функция.Виртуальное устройство PCIe, созданное из физического Контроллер Ethernet.