Hyper-V 可扩展交换机是一种二层虚拟网络交换机，可提供编程式管理与扩展功能，并能将虚拟机连接到物理网络。Windows Server 2012 通过新增的Hyper-V 可扩展交换机，为使用共享式基础架构即服务（IaaS）环境的客户提供了更好的多租户安全特性。

Hyper-V 可扩展交换机可保护防范恶意虚拟机从其他虚拟机处通过ARP 仿冒（也叫做IPv4 ARP 投毒）偷取IP 地址。通过这种类型的中间人攻击，恶意虚拟机可以发送假冒的ARP 信息，其中包含自己的MAC 地址与自己想要拥有的IP 地址。随后，其他不明真相的虚拟机就会将原本需要发往此IP地址的网络通讯发往这台恶意虚拟机所使用的MAC 地址，而非原本的目标地址。

在DHCP环境中，恶意DHCP服务器可能会拦截客户端DHCP请求，并提供错误的地址信息。恶意DHCP 服务器可能会导致通讯被路由到能对所有通讯进行窃听的恶意中介，随后才将其转发到合法目的地。为了保护防范这种类型的中间人攻击，Hyper-V 管理员可以指定哪些Hyper-V 可扩展交换机端口能够允许DHCP 服务器连接。来自其他Hyper-V 可扩展交换机端口的DHCP 服务器通讯都会被自动丢弃。Hyper-V 可扩展交换机可以保护防范恶意DHCP 服务器，防止其提供可能导致通讯被错误路由的IP 地址。

端口ACL（访问控制列表）针对Hyper-V 可扩展交换机的虚拟端口，提供了一种用于实现网络隔离，以及网络通讯计量的机制。通过使用端口ACL，您可以对可以（或无法）与虚拟机通讯的IP 地址或MAC 地址进行计量。

很多物理交换机可以监控来自特定端口，流向交换机所连接的指定虚拟机的通讯。Hyper-V 可扩展交换机提供了端口监控功能，可供管理员指定要监控的虚拟端口，以及被监控端口到哪个虚拟端口的通讯需要进行进一步处理。

总之，Hyper-V 可扩展交换机提供了保护，可防范ARP 仿冒与欺诈，保护防范DHCP 仿冒，可支持VLAN 封装模式，并可通过端口监控功能监控虚拟机的网络通讯，可以使用端口ACL对不同客户的网络实现全面隔离,并且与Windows Server 2012 中大部分其他新增和改进的功能类似，Hyper-V 可扩展交换机通过支持Windows PowerShell 以及WMI，通过命令行与自动化脚本提供了更好的可管理能力，并可提供全面的日志功能。

Hyper-V可扩展交换机，为IaaS安全护航！