NAKIVO > Blog > VMware

什麼是 VMware vSwitch？

Updated: 7 5 月, 2026

撰文:: NAKIVO 團隊

虛擬機器連線至網路的方式,與實體機器大致相同。不同之處在於,虛擬機器會使用虛擬網路介面卡和虛擬交換器來與實體網路建立連線。如果您曾使用過在 VMware 工作站上運行的虛擬機器,您可能對三個預設虛擬網路相當熟悉。這三個虛擬網路各自使用不同的虛擬交換器:

VMnet0 橋接網路 – 允許將虛擬機器的虛擬網路介面卡連接到與實體主機的網路介面卡位於同一網路中。
VMnet1 僅限主機網路 – 透過使用不同的子網,僅允許連線至主機。
VMnet8 NAT 網路 – 使用位於後方的獨立子網 NAT,並允許透過 NAT 與實體主機的網卡連接到同一個網路。

ESXi 主機同樣具備虛擬交換器,但其設定方式有所不同。今天的部落格文章將探討如何在 VMware ESXi 主機上使用 VMware 虛擬交換器來建立虛擬機器的網路連線。

NAKIVO for VMware vSphere 備份

為 VMware vSphere 虛擬機器提供全面資料保護及快速還原選項。支援本地、異地及雲端的備份目標。具備防勒索軟體功能。

探索解決方案

vSwitch 的定義

虛擬交換器是一種軟體程式——一種模擬交換器的邏輯交換架構,作為 layer-2 網路裝置。虛擬交換器具備與一般交換器相同的功能性,惟部分進階功能性除外。具體而言,與實體交換器不同之處在於:

不會學習 MAC 來自外部網路的中繼流量之位址。
不參與 Spanning Tree 協定。
無法為冗餘網路連線建立網路迴路。

VMware 的虛擬交換器稱為 vSwitch。vSwitch 用於確保虛擬機器之間的連線,以及連接虛擬網路與實體網路。vSwitch 使用實體網路介面卡(亦稱為 NIC – ESXi 主機的網路介面控制器 (NIC),用於連接實體網路。您可能需要使用 vSwitch 和實體網路埠建立一個獨立的網路 NIC 基於效能和／或安全性考量,在以下情況下:

將儲存裝置(例如 NAS 或 SAN)連接到 ESXi 主機。
vMotion 網路,用於在 ESXi 主機之間執行虛擬機器的即時遷移。
Fault Tolerance 伐木網絡。

若惡意攻擊者能夠存取某個 vSwitch 網路中的虛擬機器,即使該虛擬機器與連接至不同網路及 vSwitch 的共用儲存裝置位於同一台 ESXi 主機上,攻擊者仍無法存取該共用儲存裝置。

下圖顯示了位於 ESXi 主機上的虛擬機器、vSwitch、實體交換器及共用儲存裝置之間的網路連線。

Virtual switches of an ESXi host

您可以製作一個 分段網路 在現有的 vSwitch 上建立 port groups 針對不同的虛擬機器群組。這種做法能讓大型網路的管理更加輕鬆。

A Port Group 是多個埠的集合,用於共通設定及虛擬機器連線。每個埠組都有唯一的網路標籤。例如,在下方的螢幕截圖中,該 “VM Network” 預設會建立一個供虛擬機器使用的埠組,而 “Management Network” 是 EXSi 主機的 VMkernel 網路介面卡,您可藉此管理 ESXi。至於儲存和 vMotion 網路,您需要連接一個 VMkernel 一個網卡,可讓每個網路擁有不同的 IP 位址。每個埠組可以擁有一個 VLAN ID.

A simple topology of vSwitch with two port groups.

該 VLAN ID 是某個的識別碼 VLAN (Virtual Local Area Network) 用於 VLAN tagging. VLAN IDs 可設定的範圍為 1 至 4094(0 和 4095 這兩組數值為保留值)。透過 VLAN, 您可以邏輯性地將存在於同一物理環境中的網路進行區隔。 VLAN 是基於 IEEE 802.1q 標準,並運行於 OSI model,該 Protocol Data Unit (PDU) 其中是 frame. 會附加一個特殊的 4 位元組標籤,用於 Ethernet frames,將其大小從 1518 位元組擴增至 1522 位元組。最大值 Transmission Unit (MTU) 為 1500 位元組;這代表未經分片處理的封裝 IP 封包的最大大小。IP 網路間的路由是在第三層進行的 OSI model. 請參閱下圖。

Connection of port groups with VLAN IDs

vSwitch 中的每個埠都可以擁有一個 Port VLAN Identifier (PVID). 具有 PVIDs 稱為 “tagged ports” 或 “trunked ports”. A trunk 是指網路裝置之間的點對點連線,能夠傳輸來自多個 VLANs. 沒有 PVIDs 稱為未標記埠——它們只能傳輸一種原生 VLAN. 未標記的埠通常用於交換機與終端裝置(例如使用者電腦的網路介面卡)之間。這些終端裝置通常並不知道 VLAN 標籤,且它們會處理一般的無標籤幀。(唯一例外是當虛擬機器具備 “VMware Virtual Guest Tagging (VGT)” 已設定此特點,此時系統會識別這些標籤)。

虛擬交換器的類型

VMware 虛擬交換器可分為兩種類型:標準虛擬交換器和分散式虛擬交換器。

A vNetwork Standard Switch (vSwitch) 是一個可在單一 ESXi 主機上進行設定的虛擬交換器。預設情況下,此 vSwitch 擁有 120 個埠。每個 ESXi 主機的最大埠數為 4096。

標準 vSwitch 特點:

Link discovery 是一項使用特點 Cisco Discovery Protocol (CDP) 收集並傳送有關已連線交換機埠的資訊,這些資訊可用於網路疑難排解。

安全性設定 讓您能夠設定安全性政策:

將 Promiscuous Mode 此選項可讓來賓虛擬網卡監聽所有流量,而非僅限於該網卡自身 MAC 位址的流量。
隨著 MAC Address Changes 透過此選項,您可以允許或禁止變更虛擬機器虛擬網路介面的 MAC 位址。
隨著 Forged Transmits 透過此選項,您可以允許或封鎖傳送與虛擬機器網卡設定之 MAC 位址不同的輸出幀。

NIC teaming. 兩個或多個網路介面卡可以組合成一個團隊,並上行連接到虛擬交換器。這能增加頻寬(link aggregation) 並在其中一個叢集適配器發生故障時提供被動式故障移轉。該 Load Balancing 設定功能可讓您指定用於在 NICs 在團隊中。您可以透過在清單中上下移動網路介面卡(可處於"主動"或"備用"模式)來設定故障移轉順序。當主動介面卡發生故障時,備用介面卡將轉為主動狀態。

Traffic shaping 限制連接至 vSwitch 的每個虛擬網路介面卡的出站流量頻寬。您可以設定平均頻寬(Kb/s)、峰值頻寬(Kb/s)及突發大小(KB)的限制。

埠組政策(例如安全性、 NIC 預設情況下,分組與流量整形設定會繼承自 vSwitch 政策。您可以透過為埠組手動設定,來覆寫這些政策。

A vNetwork Distributed vSwitch (dvSwitch) 這是一個虛擬交換器,不僅具備標準 vSwitch 的特點,還提供集中式管理介面。 dvSwitches 只能在 vCenter Server. 一旦在 vCenter 中完成設定,一個 dvSwitch 在資料中心內所有已定義的 ESXi 主機上均採用相同的設定,這有助於管理大型虛擬基礎架構——您無需在每台 ESXi 主機上手動設定標準 vSwitch。當使用一個 dvSwitch, 虛擬機器在 ESXi 主機之間遷移後,仍會保留其網路狀態和虛擬交換機埠。每個 dvSwitch 的最大埠數為 60,000。dvSwitch 會利用虛擬機器所在 ESXi 主機的實體網路介面卡,將虛擬機器與外部網路連接。VMware dvSwitch 會在每個 ESXi 主機上建立代理交換機,以呈現相同的設定。注意:一個 Enterprise Plus 使用此功能需取得授權 dvSwitch 特點.

Simplified schema of a VMware Distributed vSwitch

與 vSwitch 相比, dvSwitch 提供更豐富的特點:

集中式網路管理。 您可以管理 dvSwitch 透過 vCenter 同時管理所有已定義的 ESXi 主機。
Traffic shaping. 與標準 vSwitch 不同,dvSwitch 同時支援出站與入站流量整形。
埠群封鎖。 您可以停用埠群組的資料傳送和／或接收功能。
Port mirroring. 此特點會將來自某個埠的每個封包複製到一個具有 SPAN (Switch Port Analyzer) 系統。這能讓您監控流量並執行網路診斷。
依據埠政策。 您可以針對每個埠設定特定政策,而不僅限於埠群組。
Link Layer Discovery Protocol (LLDP) 支援。 LLDP 這是一種第二層的非專有協定,對於監控多供應商網路非常有用。
Netflow 支援。 這讓您能夠監控分散式交換機上的 IP 流量資訊,這對於故障排除相當有幫助。

既然我們已經說明了標準型與分散式 vSwitch 的特點,接下來就來討論如何實作它們。

如何建立和設定 VMware vSwitch

預設情況下,每個 ESXi 主機上都有一個虛擬交換機,並包含兩個埠組—— VM Network 以及 Management Network. 讓我們建立一個新的 vSwitch。

新增標準 vSwitch

使用以下方式連線至 ESXi 主機 vSphere Web Client 並執行以下操作:

前往 Networking > Virtual switches.
點擊 Add standard virtual switch.
設定 vSwitch 名稱 (“vSwitch2s”(以我們的情況為例)以及其他必要的選項。接著點擊 Add 按鈕。

Adding a standard VMware virtual switch

注意:如果您想 jumbo frames 若已啟用以減少封包分片,您可以設定一個 MTU (Maximum Transmission Unit) 9,000 位元組。

新增上行鏈路

請執行以下步驟,新增一個上行鏈路以確保上行鏈路冗餘:

前往 Networking > 您的 vSwitch 名稱 > Actions > Add uplink.
請選擇兩項 NICs.
您還可以在這裡設定其他選項,例如連結偵測、安全性、 NIC 叢集技術與流量整形。
點擊 Save 按下按鈕以完成。

您可以隨時點擊以下連結來編輯 vSwitch 設定 Edit settings 在選取您的 vSwitch 之後 Networking > Virtual switches.

Editing the settings of standard virtual switch

新增埠群

既然您已經建立了一個 vSwitch,現在可以建立一個 port group. 為此,請依照以下步驟操作:

前往 Networking > Port groups 然後點擊 Add port group.
設定埠群組的名稱以及 VLAN ID (如有需要)。
請選擇此 port group 將會建立。
若您願意,也可以在此處設定安全性設定。
點擊 Add 按下按鈕以完成。

Adding a port group to a standard vSwitch

新增 VMkernel 網路介面卡

如果您想使用專用的虛擬機器網路、儲存網路、vMotion 網路, Fault Tolerance 伐木網絡等,您應建立一個 VMkernel NIC 用於管理相關的埠群。該 VMkernel 網路層負責處理系統流量,並將 ESXi 主機相互連接,以及與 vCenter 連接。

為了建立一個 VMkernel NIC, 請依照以下步驟操作:

前往 Networking > VMkernel NICs 然後點擊 Add VMkernel NIC.
請選取您要建立該 VMkernel NIC.
設定此項目的網路設定與服務 VMkernel NIC 如提示所示。
點擊 Save 按下按鈕以完成。

Adding a VMkernel NIC to a port group of a virtual switch

新增分散式 vSwitch

要新增一個 dvSwitch,請使用 vSphere Web Client 登入 vCenter,並執行以下操作:

前往 vCenter > 您的資料中心名稱。
在您的資料中心上按右鍵,然後選擇 New Distributed Switch. 隨即出現一個精靈視窗。
設定您的位置和名稱 dvSwitch. 點擊 下一頁.
請選擇 dvSwitch 與您資料中心內 ESXi 主機相容的版本。請按一下 Next.
編輯設定。指定上行埠的數量、網路輸入/輸出控制,以及預設值 port group. 點擊 Next.
在 Ready to complete 區段,點擊 Finish.

現在您可以設定您所建立的 dvSwitch。請前往 Home > Networking > 您的資料中心名稱 > 您的 dvSwitch 輸入名稱並選取 Manage 標籤頁。螢幕截圖顯示了您可以透過點擊來設定的特點與選項。

Distributed vSwitch settings window

首先,必須將 ESXi 主機新增至您的分散式虛擬交換器:

點擊 Action > Add and Manage Hosts. 隨即開啟一個精靈視窗。
在 Select task 區段,選擇 “Add hosts” 然後點擊 Next.
點擊 New host 並選取您要新增的 ESXi 主機。點擊 OK. 若要啟用範本模式,請勾選視窗底部的方塊。然後點擊 Next.
如果您已啟用 template mode,請選擇一個 template host. 該 template host’s 網路設定將套用至其他主機。請按一下 Next.
請勾選相應的方塊來選取網路介面卡相關任務。您可以新增實體網路介面卡和／或 VMkernel 網路介面卡。按一下 Next 當您準備好繼續時。
將實體網路介面卡新增至 dvSwitch 並指派上行鏈路。點擊 Apply to all 然後 Next.
管理 VMkernel 網路介面卡。為了建立一個新的 VMkernel 轉接器,點擊 New Adapter. 接著您可以選擇一個 port group、IP 位址及其他設定。完成此步驟後,請按一下 Next.
系統將顯示影響分析報告。請確認所有相關的網路服務均運作正常,若您確認無誤,請點擊 Next.
根據 Ready to complete 區段中,檢視您所選的設定,然後按一下 Finish 如果您滿意,請點擊此按鈕。

若要新增一個分散式埠組,請依照以下步驟操作:

點擊 Actions > New Distributed Port Group.
設定的名稱與位置 port group,然後點擊 Next.
設定 port group. 在此步驟中,您可以設定埠綁定、埠分配、埠數、網路資源池,以及 VLAN. 點擊 Next 當您準備好的時候。
根據 Ready to complete 區段中,檢視您所選的設定,然後按一下 Finish 如果您滿意,請按此按鈕。

現在您已經掌握了基礎 dvSwitch 設定已完成。您可以隨時調整設定,以因應不斷變化的需求。

使用 vSwitch 的優勢

在探討過如何設定 VMware 虛擬交換器之後,讓我們來總結一下使用它們的優勢:

使用 VLANs 以及路由器,讓您能夠限制不同網路之間的存取權限。
安全性已獲得提升。
靈活的網路管理。
與實體機器相比,建立冗餘網路連線所需的硬體網路介面卡數量較少。
虛擬機器的遷移與部署更加簡便。

結論

虛擬交換器可讓您管理虛擬機器群組的網路連線、進行監控、提升安全性,並簡化 VMware vSphere 虛擬環境的管理工作。分散式虛擬交換器比標準虛擬交換器具備更多特點,對於擁有大量 ESXi 主機的大型虛擬基礎架構而言,是更理想的選擇。

無論您的虛擬環境規模大小,都應採用能與 VMware 無縫整合的資料保護解決方案,以確保最高可靠性。在 NAKIVO,我們對 VMware 瞭若指掌。我們的專家團隊設計了 NAKIVO Backup & Replication 專為 vSphere 和 ESXi 設計。正因如此,您可期待其運作流暢、高效且可靠 VMware 備份透過我們的解決方案。