Windows Server 2012的发布带来很多新的特性，包括Hyper-V的可扩展虚拟交换机。和其它的虚拟交换机类似，它可以把虚机连接到物理网卡。Windows Server 2012提供的核心特点是交换机的可扩展性，允许第三方对其功能进行扩展。

　　可扩展虚拟交换机如何工作

　　Windows Server 2012 Hyper-V可扩展交换机通过由微软或其第三方合作伙伴创建的扩展包（NDIS-Network Driver Interface Specification 过滤驱动），跟交换机的驱动堆栈捆绑。这些交换机扩展包可以在虚拟网络内完成普通的网络监控和过滤动作。另外，交换机扩展套件通过向网络管理工具发送或接受虚拟网络流量，可以实现对虚拟网络的监控甚至是修改。这使得扩展套件不仅可以汇报虚拟网络流量的状态，而且扮演了防火墙或带宽控制软件的功能。

　　这种扩展性可以实现允许重要应用访问Hyper-V虚拟网络，从而对Hyper-V管理员提供帮助。另外可以允许应用直接访问虚拟网络。例如网络分析、防病毒或反恶意访问扫描、防火墙包过滤和带宽控制等应用（关于更多虚拟交换机扩展套件和如何创建驱动的内容，微软的网站有一部分关于Hyper-V虚拟交换机扩展驱动的内容）。

　　去年的Microsoft TechEd峰会展出了几款可以使用Hyper-V虚拟网络功能的应用：Cisco的Nexus 1000V for Windows 2012 Hyper-V、Inmon sFlow for Windows 2012 Hyper-V和NEC的OpenFlow for Windows 2012 Hyper-V 。

　　Windows 2012 Hyper-V无代理安全产品的工作原理

　　有一款独特的产品是5nine Software公司的 Security Manager，宣称是第一个用于Hyper-V的无代理安全解决方案。他们的产品通过Windows 2012 Hyper-V可扩展交换机为Hyper-V虚拟网络同提供防火墙、反病毒和防恶意访问以及入侵防护功能。

　　该公司期望Security Manager将替换Hyper-V虚拟架构中现有的企业级防病毒方案。使用无代理防病毒软件有这么几个优势。虚机内的无代理病毒扫描要比基于代理的方式速度快。在传说中，5nine Software宣称他们的增量型无代理反病毒扫描要比基于代理的产品速度快70%。他们的观点是每台虚机运行防病毒软件时间的节省就相当于节省了资源。这种资源的节省也意味着虚拟性能不会受到防病毒扫描的影响，而且不会对用户体验有影响。通过无代理模式，可以避免“AV风暴”的影响，而且不需要维护代理和在多台服务器上保持防病毒软件签名的更新。对企业而言借助无代理防病毒方式可以提高虚机的整合比率，潜在地节省了服务器硬件费用。

　　时间的节省是由于从未使用虚机的操作系统,而是由Hyper-V宿主机替代，对虚机的虚拟磁盘文件进行防病毒的增量扫描。增量扫描过程只对从上次扫描之后虚拟磁盘发生改变的数据块进行（不像虚机操作系统内的防病毒代理会对所有改变的文件做扫描）。

 
图 1. 5nine Software的 Security Manager

　　5nine Software的 Security Manager对虚机工具进行一次增量扫描大约花费40s时间。

　　您还可以对进出每台虚机的流量制定过滤规则。这就是通过交换机扩展包Security Manager完成了实时的虚拟网络流量过滤、监控和带宽控制。您将看到通过对Hyper-V虚机部署集中控制的虚拟防火墙，我可以创建进出规则并监控允许和拒绝访问的流量。