การสนับสนุนสําหรับการปรับใช้ ACLs พอร์ตขยาย Hyper-V ใน System Center 2012 R2 VMM ด้วยชุดรวมอัปเดต 8

การกําหนด ACL ของพอร์ตใหม่และกฎ ACL ของพอร์ต

ตอนนี้คุณสามารถสร้าง ACLs และกฎ ACL ได้โดยตรงจากใน VMM โดยใช้ PowerShell cmdlets

สร้าง ACL ใหม่

PowerShell cmdlet ใหม่ต่อไปนี้จะถูกเพิ่ม:

สตริง<New-SCPortACL –Name> [–คําอธิบาย<สตริง>]

–ชื่อ: ชื่อของพอร์ต ACL

–คําอธิบาย: คําอธิบายของพอร์ต ACL (พารามิเตอร์เสริม)

Get-SCPortACL

เรียกใช้ ACLs

–Name พอร์ตทั้งหมด: กรองตามชื่อ

–ID เพิ่มเติม: กรองโดยคําสั่งตัวอย่าง ID เพิ่มเติม

New-SCPortACL -Name Samplerule -Description SampleDescription 

$acl = Get-SCPortACL -Name Samplerule 

PowerShell cmdlet ใหม่ที่ถูกเพิ่ม

สตริง New-SCPortACLrule -PortACL <PortACL> - Name <> [-Description <string>] -Type <|ขาเข้า>ขาออก -การดําเนินการ<อนุญาต| ปฏิเสธ> -Priority <uint16> -Protocol <Tcp | | Udp>ใดๆ [-SourceAddressPrefix สตริง<: IPAddress | IPSubnet>] [-SourcePortRange <string:X|X-Y|>ใดๆ] [-DestinationAddressPrefix <string: IPAddress | IPSubnet>] [-DestinationPortRange <string:X|X-Y|>ใดๆ]

Get-SCPortACLrule

เรียกใช้กฎ ACL ของพอร์ตทั้งหมด

• ชื่อ: กรองตามชื่อหรือไม่ก็ได้

• ID: เลือกกรองตาม ID

• PortACL: เลือกกรองตามพอร์ต ACL

คําสั่งตัวอย่าง

New-SCPortACLrule -Name AllowSMBIn -Description "Allow inbound TCP Port 445" -Type Inbound -Protocol TCP -Action Allow -PortACL $acl -SourcePortRange 445 -Priority 10 

New-SCPortACLrule -Name AllowSMBOut -Description "Allow outbound TCP Port 445" -Type Outbound -Protocol TCP -Action Allow -PortACL $acl -DestinationPortRange 445 -Priority 10 

New-SCPortACLrule -Name DenyAllIn -Description "All Inbould" -Type Inbound -Protocol Any -Action Deny -PortACL $acl -Priority 20 

New-SCPortACLrule -Name DenyAllOut -Description "All Outbound" -Type Outbound  -Protocol Any -Action Deny -PortACL $acl -Priority 20

การเชื่อมต่อและการแยก ACLs ของพอร์ตออก

ACL สามารถแนบกับสิ่งต่อไปนี้ได้:

• การตั้งค่าส่วนกลาง (นําไปใช้กับอะแดปเตอร์เครือข่าย VM ทั้งหมด เฉพาะผู้ดูแลระบบแบบเต็มเท่านั้นที่สามารถทําเช่นนี้ได้)

• เครือข่าย VM (ผู้ดูแลระบบ/ผู้ดูแลระบบผู้เช่าแบบเต็ม/SSU สามารถทําเช่นนี้ได้)

• เครือข่ายย่อย VM (ผู้ดูแลระบบ/ผู้ดูแลระบบผู้เช่าแบบเต็ม/SSU สามารถทําเช่นนี้ได้)

• อะแดปเตอร์เครือข่ายเสมือน (ผู้ดูแลระบบ/ผู้ดูแลระบบผู้เช่าแบบเต็ม/SSU สามารถทําเช่นนี้ได้)

การตั้งค่าส่วนกลาง

กฎ ACL ของพอร์ตเหล่านี้ใช้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดในโครงสร้างพื้นฐาน

PowerShell cmdlet ที่มีอยู่ได้รับการอัปเดตด้วยพารามิเตอร์ใหม่สําหรับการแนบและแยก ACLs ของพอร์ต

Set-SCVMMServer –VMMServer <VMMServer> [-PortACL <NetworkAccessControlList> | -RemovePortACL ]

• PortACL: พารามิเตอร์เพิ่มเติมใหม่ที่กําหนดค่า ACL ของพอร์ตที่ระบุเป็นการตั้งค่าส่วนกลาง

• RemovePortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ลบ ACL พอร์ตที่กําหนดค่าจากการตั้งค่าส่วนกลาง

Get-SCVMMServer: ส่งกลับ ACL พอร์ตที่กําหนดค่าไว้ในวัตถุที่ส่งกลับ

คําสั่งตัวอย่าง

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -PortACL $acl 

Set-SCVMMServer -VMMServer "VMM.Contoso.Local" -RemovePortACL 

เครือข่าย VM

กฎเหล่านี้จะถูกนําไปใช้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดที่เชื่อมต่อกับเครือข่าย VM นี้

PowerShell cmdlet ที่มีอยู่ได้รับการอัปเดตด้วยพารามิเตอร์ใหม่สําหรับการแนบและแยก ACLs ของพอร์ต

New-SCVMNetwork [–PortACL <NetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ช่วยให้คุณระบุพอร์ต ACL ไปยังเครือข่าย VM ในระหว่างการสร้าง

Set-SCVMNetwork [–PortACL <NetworkAccessControlList> | -RemovePortACL] [rest of the parameters]

-PortACL: New optional parameter that lets you set acl port ACL to the VM network.

-RemovePortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ลบ ACL พอร์ตที่กําหนดค่าจากเครือข่าย VM

Get-SCVMNetwork: ส่งกลับพอร์ต ACL ที่กําหนดค่าไว้ในวัตถุที่ส่งกลับ

คําสั่งตัวอย่าง

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -PortACL $acl 

Get-SCVMNetwork -name VMNetworkNoIsolation | Set-SCVMNetwork -RemovePortACL 

เครือข่ายย่อย VM

กฎเหล่านี้จะถูกนําไปใช้กับอะแดปเตอร์เครือข่ายเสมือน VM ทั้งหมดที่เชื่อมต่อกับเครือข่ายย่อย VM นี้

PowerShell cmdlet ที่มีอยู่ได้รับการอัปเดตด้วยพารามิเตอร์ใหม่สําหรับการแนบและแยก ACLs พอร์ต

New-SCVMSubnet [–PortACL <NetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ช่วยให้คุณระบุพอร์ต ACL ไปยังเครือข่ายย่อย VM ในระหว่างการสร้าง

Set-SCVMSubnet [–PortACL <NetworkAccessControlList> | -RemovePortACL] [rest of the parameters]

-PortACL: New optional parameter that lets you set acl port acl to the VM subnet.

-RemovePortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ลบ ACL พอร์ตที่กําหนดค่าจากเครือข่ายย่อย VM

Get-SCVMSubnet: ส่งกลับค่า ACL พอร์ตที่กําหนดค่าไว้ในวัตถุที่ส่งกลับ

คําสั่งตัวอย่าง

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet -PortACL $acl 

Get-SCVMSubnet -name VM2 | Set-SCVMSubnet-RemovePortACL 

อะแดปเตอร์เครือข่ายเสมือน VM (vmNIC)

PowerShell cmdlet ที่มีอยู่ได้รับการอัปเดตด้วยพารามิเตอร์ใหม่สําหรับการแนบและแยก ACLs ของพอร์ต

New-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList>] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ช่วยให้คุณระบุพอร์ต ACL ไปยังอะแดปเตอร์เครือข่ายเสมือนในขณะที่คุณกําลังสร้าง vNIC ใหม่

Set-SCVirtualNetworkAdapter [–PortACL <NetworkAccessControlList> | -RemovePortACL] [ส่วนที่เหลือของพารามิเตอร์]

-PortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ช่วยให้คุณตั้งค่าพอร์ต ACL ไปยังอะแดปเตอร์เครือข่ายเสมือน

-RemovePortACL: พารามิเตอร์เพิ่มเติมใหม่ที่ลบ ACL พอร์ตที่กําหนดค่าจากอะแดปเตอร์เครือข่ายเสมือน

Get-SCVirtualNetworkAdapter: ส่งกลับพอร์ตที่กําหนดค่า ACL ในวัตถุที่ส่งกลับ

คําสั่งตัวอย่าง

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter -PortACL $acl 

Get-SCVirtualMachine -Name VM0001 | Get-SCVirtualNetworkAdapter | Set-SCVirtualNetworkAdapter –RemovePortACL 

การนํากฎ ACL ของพอร์ตไปใช้

เมื่อคุณรีเฟรช VM หลังจากที่คุณแนบ ACLs พอร์ต คุณสังเกตเห็นว่า สถานะของ VM จะแสดงเป็น "ไม่สอดคล้อง" ในมุมมองเครื่องเสมือนของพื้นที่ทํางาน Fabric (เมื่อต้องการสลับไปยังมุมมองเครื่องเสมือน คุณต้องเรียกดูโหนด เครือข่ายแบบลอจิคัล หรือโหนด Logical Switches ของพื้นที่ทํางาน Fabric ก่อน) โปรดทราบว่าการรีเฟรช VM จะเกิดขึ้นโดยอัตโนมัติในเบื้องหลัง (ตามกําหนดเวลา) ดังนั้น แม้ว่าคุณจะไม่ได้รีเฟรช VM อย่างชัดเจน แต่ VM เหล่านั้นจะเข้าสู่สถานะที่ไม่สามารถปฏิบัติตามได้ในที่สุด



ณ จุดนี้ ACLs พอร์ตยังไม่ได้นําไปใช้กับ VM และอะแดปเตอร์เครือข่ายเสมือนที่เกี่ยวข้อง เมื่อต้องการใช้ ACL พอร์ต คุณต้องทริกเกอร์กระบวนการที่เรียกว่าการแก้ไข ซึ่งจะไม่เกิดขึ้นโดยอัตโนมัติและควรเริ่มต้นอย่างชัดเจนเมื่อผู้ใช้ร้องขอ

เมื่อต้องการเริ่มการแก้ไข คุณสามารถคลิก แก้ไข บน Ribbon หรือเรียกใช้ cmdlet Repair-SCVirtualNetworkAdapter ไม่มีการเปลี่ยนแปลงไวยากรณ์ cmdlet สําหรับฟีเจอร์นี้โดยเฉพาะ

Repair-SCVirtualNetworkAdapter -VirtualNetworkAdapter <VirtualNetworkAdapter>

Remediating these VM will mark them as compliant and will make sure that extended port ACLs are applied. โปรดทราบว่า ACL ของพอร์ตจะไม่นําไปใช้กับ VM ใดๆ ในขอบเขตจนกว่าคุณจะแก้ไขอย่างชัดเจน

การดูกฎ ACL ของพอร์ต

เมื่อต้องการดูกฎ ACL และ ACL คุณสามารถใช้ cmdlet ของ PowerShell ต่อไปนี้

กําลังอัปเดตกฎ ACL ของพอร์ต

เมื่อคุณปรับปรุง ACL ที่แนบมากับอะแดปเตอร์เครือข่าย การเปลี่ยนแปลงจะมีผลในอินสแตนซ์อะแดปเตอร์เครือข่ายทั้งหมดที่ใช้ ACL นั้น สําหรับ ACL ที่แนบมากับเครือข่ายย่อย VM หรือเครือข่าย VM อินสแตนซ์อะแดปเตอร์เครือข่ายทั้งหมดที่เชื่อมต่อกับเครือข่ายย่อยนั้นจะได้รับการอัปเดตด้วยการเปลี่ยนแปลง

หมายเหตุ การอัปเดตกฎ ACL บนอะแดปเตอร์เครือข่ายแต่ละตัวจะดําเนินการควบคู่ไปกับแบบแผนหนึ่งพยายามอย่างดีที่สุด อะแดปเตอร์ที่ไม่สามารถอัปเดตได้ไม่ว่าด้วยเหตุผลใดก็ตามจะถูกทําเครื่องหมายเป็น "เข้ากันได้กับความปลอดภัย" และงานจะเสร็จสิ้นด้วยข้อความแสดงข้อผิดพลาดที่ระบุว่าอะแดปเตอร์เครือข่ายไม่ได้รับการอัปเดตไม่สําเร็จ "Security incompliant" ที่นี่หมายถึงไม่ตรงกันในที่คาดไว้กับกฎ ACL ที่เกิดขึ้นจริง อะแดปเตอร์จะมีสถานะการปฏิบัติตามข้อบังคับเป็น "ไม่ตรงตามมาตรฐาน" พร้อมกับข้อความแสดงข้อผิดพลาดที่เกี่ยวข้อง ดูส่วนก่อนหน้าสําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแก้ไขเครื่องเสมือนที่ไม่ตรงตามมาตรฐาน

การลบกฎ ACL ของพอร์ตและพอร์ต ACL

ACL สามารถลบได้ก็ต่อเมื่อไม่มีการอ้างอิงแนบอยู่เท่านั้น การขึ้นต่อกันประกอบด้วยเครือข่าย VM/เครือข่ายย่อย VM/อะแดปเตอร์เครือข่ายเสมือน/การตั้งค่าส่วนกลางที่แนบมากับ ACL เมื่อคุณพยายามลบพอร์ต ACL โดยใช้ PowerShell cmdlet cmdlet จะตรวจสอบว่าพอร์ต ACL แนบอยู่กับการขึ้นต่อกันใดๆ และจะส่งข้อความแสดงข้อผิดพลาดที่เหมาะสม

การเอา ACLs พอร์ตออก

PowerShell cmdlet ใหม่ถูกเพิ่ม:

> Remove-SCPortACL -PortACL <NetworkAccessControlList

กําลังเอากฎ ACL ของพอร์ตออก

PowerShell cmdlet ใหม่ถูกเพิ่ม:

Remove-SCPortACLRule -PortACLRule <NetworkAccessControlListRule>

โปรดทราบว่าการลบเครือข่ายย่อย VM/อะแดปเตอร์เครือข่าย VM จะเอาความสัมพันธ์กับ ACL นั้นออกโดยอัตโนมัติ

ACL ยังสามารถแยกความสัมพันธ์จากอะแดปเตอร์เครือข่ายย่อย VM/VM/เครือข่ายโดยการเปลี่ยนวัตถุเครือข่าย VMM ที่เกี่ยวข้อง เมื่อต้องการทําเช่นนี้ ให้ใช้ Set- cmdlet ร่วมกับสวิตช์ -RemovePortACL ตามที่อธิบายไว้ในส่วนก่อนหน้า ในกรณีนี้ พอร์ต ACL จะถูกแยกออกจากวัตถุเครือข่ายที่เกี่ยวข้อง แต่จะไม่ถูกลบออกจากโครงสร้างพื้นฐาน VMM ดังนั้นจึงสามารถนํากลับมาใช้ใหม่ได้ในภายหลัง

การเปลี่ยนแปลงกฎ ACL ที่ไม่อยู่ในแถบงาน

ถ้าเรากําลังเปลี่ยนแปลงกฎ ACL จากพอร์ตสวิตช์เสมือน Hyper-V (โดยใช้ cmdlet Hyper-V ดั้งเดิม เช่น Add-VMNetworkAdapterExtendedAcl) การรีเฟรช VM จะแสดงอะแดปเตอร์เครือข่ายเป็น "เข้ากันได้กับความปลอดภัย" จากนั้น อะแดปเตอร์เครือข่ายสามารถแก้ไขจาก VMM ตามที่อธิบายไว้ในส่วน "กําลังนํา ACLs พอร์ตไปใช้" อย่างไรก็ตาม การแก้ไขจะเขียนทับกฎ ACL ของพอร์ตทั้งหมดที่กําหนดไว้ภายนอก VMM กับที่ VMM คาดหวัง

แนวคิดหลัก

กฎ ACL ของพอร์ตแต่ละกฎใน ACL ของพอร์ตจะมีคุณสมบัติที่ชื่อว่า "Priority" กฎจะถูกนําไปใช้ตามลําดับตามลําดับความสําคัญของกฎ หลักการหลักต่อไปนี้กําหนดลําดับความสําคัญของกฎ:

• ยิ่งหมายเลขระดับความสําคัญต่ํายิ่งมีความสําคัญยิ่งมากเท่านั้น กล่าวคือ ถ้ากฎ ACL ของพอร์ตหลายตัวขัดแย้งกัน กฎที่มีลําดับความสําคัญต่ํากว่าจะชนะ

• การกระทํากฎไม่มีผลต่อลําดับความสําคัญ ซึ่งไม่เหมือนกับ NTFS ACLs (ตัวอย่างเช่น) ที่นี่เราไม่มีแนวคิดเช่น "ปฏิเสธเสมอมีความสําคัญเหนืออนุญาต"

• ในลําดับความสําคัญเดียวกัน (ค่าตัวเลขเดียวกัน) คุณไม่สามารถมีกฎสองกฎที่มีทิศทางเดียวกัน ลักษณะการทํางานนี้ป้องกันไม่ให้สถานการณ์สมมติที่หนึ่งสามารถกําหนดกฎทั้ง "ปฏิเสธ" และ "อนุญาต" ที่มีลําดับความสําคัญเท่ากัน เนื่องจากจะส่งผลให้เกิดความกํากวมหรือข้อขัดแย้ง

• ข้อขัดแย้งถูกกําหนดเป็นกฎอย่างน้อยสองกฎที่มีลําดับความสําคัญและทิศทางเดียวกัน ข้อขัดแย้งอาจเกิดขึ้นถ้ามีกฎ ACL ของพอร์ตสองกฎที่มีลําดับความสําคัญและทิศทางเดียวกันใน ACLs สองตัวที่ใช้กับระดับที่แตกต่างกัน และถ้าระดับเหล่านั้นทับซ้อนกันบางส่วน กล่าวคือ อาจมีวัตถุ (ตัวอย่างเช่น vmNIC) ที่อยู่ภายในขอบเขตของทั้งสองระดับ ตัวอย่างทั่วไปของการซ้อนทับกันคือเครือข่าย VM และซับเน็ต VM ในเครือข่ายเดียวกัน

การนํา ACLs หลายพอร์ตไปใช้กับเอนทิตีเดียว 

เนื่องจาก ACLs พอร์ตสามารถนําไปใช้กับวัตถุเครือข่าย VMM ที่แตกต่างกัน (หรือในระดับที่แตกต่างกัน ตามที่อธิบายไว้ก่อนหน้านี้) อะแดปเตอร์เครือข่ายเสมือน VM (vmNIC) เดียวสามารถอยู่ในขอบเขตของหลายพอร์ต ACLs ในสถานการณ์สมมตินี้ กฎ ACL พอร์ตจาก ACLs พอร์ตทั้งหมดจะถูกนําไปใช้ อย่างไรก็ตาม ความสําคัญของกฎเหล่านั้นอาจแตกต่างกัน โดยขึ้นอยู่กับการตั้งค่าการปรับ VMM ใหม่หลายอย่างที่กล่าวถึงต่อไปในบทความนี้

การตั้งค่ารีจิสทรี

การตั้งค่าเหล่านั้นจะถูกกําหนดเป็นค่า Dword ใน Windows Registry ภายใต้คีย์ต่อไปนี้บนเซิร์ฟเวอร์การจัดการ VMM:

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\การตั้งค่า
โปรดทราบว่าการตั้งค่าเหล่านี้ทั้งหมดจะส่งผลต่อลักษณะการทํางานของ ACL ของพอร์ตทั่วทั้งโครงสร้างพื้นฐาน VMM

ลําดับความสําคัญของกฎ ACL ของพอร์ตที่มีผล

ในการสนทนานี้ เราจะอธิบายความสําคัญของกฎ ACL ของพอร์ตจริงเมื่อนํา ACL พอร์ตหลายพอร์ตไปใช้กับเอนทิตีเดียวเป็นลําดับความสําคัญของกฎที่มีประสิทธิภาพ โปรดทราบว่าไม่มีการตั้งค่าหรือวัตถุแยกต่างหากใน VMM เพื่อกําหนดหรือดูลําดับความสําคัญของกฎที่มีผล โดยจะคํานวณในรันไทม์

มีโหมดส่วนกลางสองโหมดที่สามารถคํานวณระดับความสําคัญของกฎที่มีผลได้ โหมดจะสลับโดยการตั้งค่ารีจิสทรี:

PortACLAbsolutePriority
ค่าที่ยอมรับได้สําหรับการตั้งค่านี้คือ 0 (ศูนย์) หรือ 1 โดยที่ 0 ระบุลักษณะการทํางานเริ่มต้น

ลําดับความสําคัญสัมพัทธ์ (ลักษณะการทํางานเริ่มต้น)

เมื่อต้องการเปิดใช้งานโหมดนี้ ให้ตั้งค่าคุณสมบัติ PortACLAbsolutePriority ในรีจิสทรีเป็นค่า 0 (ศูนย์) โหมดนี้ยังนําไปใช้ได้ถ้าไม่มีการกําหนดการตั้งค่าในรีจิสทรี (นั่นคือ ถ้าไม่ได้สร้างคุณสมบัติ)

ในโหมดนี้ หลักการต่อไปนี้นําไปใช้เพิ่มเติมจากแนวคิดหลักที่อธิบายไว้ก่อนหน้านี้:

• ลําดับความสําคัญภายใน ACL ของพอร์ตเดียวกันจะถูกรักษาไว้ ค่าระดับความสําคัญที่กําหนดไว้ในแต่ละกฎจะถือว่าสัมพันธ์กันภายใน ACL

• เมื่อคุณนํา ACLs หลายพอร์ตไปใช้ กฎเหล่านั้นจะถูกนําไปใช้ในบักเก็ต กฎจาก ACL เดียวกัน (ที่แนบมากับวัตถุที่กําหนด) จะถูกนําไปใช้ร่วมกันภายในกลุ่มเดียวกัน ความสําคัญของบักเก็ตเฉพาะจะขึ้นอยู่กับวัตถุที่แนบ ACL ของพอร์ต

• ที่นี่ กฎใดๆ ที่กําหนดไว้ในการตั้งค่าส่วนกลาง ACL (โดยไม่คํานึงถึงลําดับความสําคัญของตนเองตามที่กําหนดไว้ในพอร์ต ACL) จะมีความสําคัญเหนือกว่ากฎที่กําหนดไว้ใน ACL ที่ใช้กับ vmNIC และอื่นๆ เสมอ กล่าวอีกนัยหนึ่งการแยกชั้นจะถูกบังคับใช้
  
  

ในที่สุด ลําดับความสําคัญของกฎที่มีผลอาจแตกต่างจากค่าตัวเลขที่คุณกําหนดในคุณสมบัติกฎ ACL ของพอร์ต ข้อมูลเพิ่มเติมเกี่ยวกับวิธีการบังคับใช้ลักษณะการทํางานนี้ และวิธีที่คุณสามารถเปลี่ยนตรรกะต่อไปนี้

1. ลําดับที่ระดับ "เฉพาะวัตถุ" สามระดับ (นั่นคือ vmNIC, เครือข่ายย่อย VM และเครือข่าย VM) สามารถเปลี่ยนแปลงลําดับความสําคัญได้
   
   

   1. ไม่สามารถเปลี่ยนแปลงลําดับของการตั้งค่าส่วนกลางได้ ต้องใช้ลําดับความสําคัญสูงสุดเสมอ (หรือคําสั่งซื้อ = 0)

   2. สําหรับอีกสามระดับ คุณสามารถตั้งค่าต่อไปนี้เป็นค่าตัวเลขระหว่าง 0 และ 3 โดยที่ 0 คือลําดับความสําคัญสูงสุด (เท่ากับการตั้งค่าส่วนกลาง) และ 3 คือลําดับความสําคัญต่ําสุด:
      
      

      • PortACLVMNetworkAdapterPriority (ค่าเริ่มต้นคือ 1)

      • PortACLVMSubnetPriority (ค่าเริ่มต้นคือ 2)

      • PortACLVMNetworkPriority (ค่าเริ่มต้นคือ 3)

   3. หากคุณกําหนดค่าเดียวกัน (0 ถึง 3) ให้กับการตั้งค่ารีจิสทรีหลายรายการเหล่านี้ หรือหากคุณกําหนดค่าที่อยู่นอกช่วง 0 ถึง 3 VMM จะไม่สามารถกลับไปใช้ลักษณะการทํางานเริ่มต้นได้

2. วิธีการบังคับใช้การจัดลําดับคือ ลําดับความสําคัญของกฎที่มีผล จะถูกเปลี่ยนแปลง เพื่อให้กฎ ACL ที่กําหนดไว้ในระดับที่สูงกว่าได้รับลําดับความสําคัญสูงกว่า (นั่นคือ ค่าตัวเลขที่น้อยกว่า) เมื่อมีการคํานวณ ACL ที่มีประสิทธิภาพ ค่าลําดับความสําคัญของกฎที่สัมพันธ์กันแต่ละค่าจะ "ชน" ตามค่าเฉพาะระดับหรือ "ขั้นตอน"

3. ค่าเฉพาะระดับคือ "ขั้นตอนที่" ที่แยกระดับต่างๆ ตามค่าเริ่มต้น ขนาดของ "step" คือ 10000 และได้รับการกําหนดค่าโดยการตั้งค่ารีจิสทรีต่อไปนี้:
   

   PortACLLayerSeparation

4. ซึ่งหมายความว่า ในโหมดนี้ ลําดับความสําคัญของกฎแต่ละข้อภายใน ACL (ซึ่งก็คือกฎที่ถือว่าสัมพันธ์) ต้องไม่เกินค่าของการตั้งค่าต่อไปนี้:
   

   PortACLLayerSeparation(by default, 10000)

ลําดับความสําคัญสัมพัทธ์

เมื่อต้องการเปิดใช้งานโหมดนี้ ให้ตั้งค่าคุณสมบัติ PortACLAbsolutePriority ในรีจิสทรีเป็นค่า 1

ในโหมดนี้ หลักการต่อไปนี้นําไปใช้เพิ่มเติมจากแนวคิดหลักที่อธิบายไว้ก่อนหน้านี้:

• ถ้าวัตถุอยู่ในขอบเขตของ ACLs หลายตัว (ตัวอย่างเช่น เครือข่าย VM และเครือข่ายย่อย VM) กฎทั้งหมดที่กําหนดไว้ใน ACLs ที่แนบมาจะถูกนําไปใช้ในลําดับที่รวมกัน (หรือเป็นบักเก็ตเดียว) ไม่มีการแยกระดับและไม่มีการ "ชน" ใด ๆ

• ระดับความสําคัญของกฎทั้งหมดจะถือว่าเป็นแบบสัมบูรณ์ ตามที่กําหนดไว้ในระดับความสําคัญของกฎแต่ละข้อ กล่าวอีกนัยหนึ่งระดับความสําคัญที่มีประสิทธิภาพสําหรับแต่ละกฎจะเหมือนกับที่กําหนดไว้ในกฎเองและไม่ได้รับการเปลี่ยนแปลงโดยโปรแกรม VMM ก่อนที่จะนําไปใช้

• การตั้งค่ารีจิสทรีอื่นๆ ทั้งหมดที่อธิบายไว้ในส่วนก่อนหน้าจะไม่มีผลใดๆ

• ในโหมดนี้ ลําดับความสําคัญของกฎแต่ละข้อใน ACL (นั่นคือ ลําดับความสําคัญของกฎที่ถือว่าสัมบูรณ์) ต้องไม่เกิน 65535