Proteja o switch físico em cada ESXi host para impedir que invasores obtenham acesso ao host e suas máquinas virtuais.

Para melhor proteção de seus hosts, certifique-se de que as portas do switch físico estejam configuradas com a árvore de abrangência desativada e certifique-se de que a opção de não negociação esteja configurada para links de tronco entre switches físicos externos e switches virtuais no modo Virtual Switch Tagging (VST).

Procedimento

  1. Faça login no switch físico e certifique-se de que o protocolo de árvore estendida esteja desativado ou que a porta rápida esteja configurada para todas as portas do switch físico que estão conectadas aos hosts ESXi.
  2. Para máquinas virtuais que executam ponte ou roteamento, verifique periodicamente se a primeira porta de switch física upstream está configurada com o protetor BPDU e a porta rápida desativados e com o protocolo de árvore de abrangência ativado.
    No vSphere 5.1 e versões posteriores, para evitar possíveis ataques de negação de serviço (DoS) pelo switch físico, você pode ativar o filtro de BPDU convidado nos hosts ESXi.
  3. Faça login no switch físico e certifique-se de que o Dynamic Trunking Protocol (DTP) não esteja ativado nas portas do switch físico que estão conectadas aos hosts ESXi.
  4. Verifique rotineiramente as portas do switch físico para garantir que elas estejam configuradas corretamente como portas de tronco se conectadas a portas de entroncamento de VLAN do switch virtual.