Você pode proteger o tráfego de switch padrão contra ataques de Camada 2, restringindo alguns dos modos de endereço MAC dos adaptadores de rede da VM.

Cada adaptador de rede de VM tem um endereço MAC inicial e um endereço MAC efetivo.

Endereço MAC inicial
O endereço MAC inicial é atribuído quando o adaptador é criado. Embora o endereço inicial MAC possa ser reconfigurado de fora do sistema operacional convidado, ele não pode ser alterado pelo sistema operacional convidado.
Endereço MAC efetivo
Cada adaptador tem um endereço MAC efetivo que filtra o tráfego de rede de entrada com um endereço MAC de destino diferente do endereço MAC efetivo. O sistema operacional convidado é responsável por definir o endereço MAC efetivo e, normalmente, corresponde ao endereço MAC efetivo para o endereço MAC inicial.

Após a criação de um adaptador de rede de VM, o endereço MAC efetivo e o endereço MAC inicial são os mesmos. O sistema operacional convidado pode alterar o endereço MAC efetivo para outro valor a qualquer momento. Se um sistema operacional alterar o endereço MAC efetivo, seu adaptador de rede receberá o tráfego de rede destinado ao novo endereço MAC.

Ao enviar pacotes por meio de um adaptador de rede, o sistema operacional convidado normalmente coloca seu próprio endereço MAC efetivo do adaptador no campo de endereço MAC de origem dos quadros Ethernet. Ele coloca o endereço MAC para o adaptador de rede de recebimento no campo de endereço MAC de destino. O adaptador de recebimento aceita pacotes somente se o endereço MAC de destino no pacote corresponder ao seu próprio endereço MAC efetivo.

Um sistema operacional pode enviar quadros com um endereço MAC de origem representado. Um sistema operacional pode, portanto, representar um adaptador de rede que a rede de recebimento autoriza e preparar ataques maliciosos nos dispositivos em uma rede.

Proteja o tráfego virtual contra ataques de representação e interceptação de Camada 2 configurando uma política de segurança em grupos de portas ou portas.

A política de segurança em grupos de portas e portas distribuídas inclui as seguintes opções:

Você pode visualizar e alterar as configurações padrão selecionando o switch virtual associado ao host em vSphere Client. Consulte a documentação do Rede do vSphere .