Os administradores têm várias opções para proteger o vSphere Distributed Switches em seu ambiente vSphere.

As mesmas regras se aplicam para VLANs em um vSphere Distributed Switch, assim como em um switch padrão. Para obter mais informações, consulte Proteção de switch padrão e VLANs.

Procedimento

  1. Para grupos de portas distribuídas com associação estática, desative o recurso de expansão automática.

    A expansão automática está ativada por padrão no vSphere 5.1 e versões posteriores.

    Para desativar a expansão automática, configure a propriedade autoExpand no grupo de portas distribuídas com o vSphere Web Services SDK ou com uma interface de linha de comando. Consulte a documentação do vSphere Web Services SDK .
  2. Certifique-se de que todas as IDs de VLAN privadas de qualquer vSphere Distributed Switch estejam totalmente documentadas.
  3. Se você estiver usando a marcação de VLAN em um dvPortgroup, as IDs de VLAN deverão corresponder às IDs em switches externos com reconhecimento de VLAN. Se os IDs de VLAN não forem rastreados corretamente, a reutilização incorreta de IDs poderá permitir o tráfego indesejado. Da mesma forma, IDs de VLAN incorretos ou ausentes podem fazer com que o tráfego não passe entre máquinas físicas e virtuais.
  4. Certifique-se de que não haja portas não utilizadas em um grupo de portas virtuais associado a um vSphere Distributed Switch.
  5. Rotule todos os vSphere Distributed Switches.
    Os vSphere Distributed Switches associados a um host ESXi exigem uma caixa de texto para o nome do switch. Esse rótulo serve como um descritor funcional para o switch, assim como o nome do host associado a um switch físico. O rótulo no vSphere Distributed Switch indica a função ou a sub-rede IP do switch. Por exemplo, você pode rotular o switch como interno para indicar que ele é apenas para redes internas no switch virtual privado de uma máquina virtual. Nenhum tráfego passa por adaptadores de rede físicos.
  6. Desative a verificação de integridade de rede para seus vSphere Distributed Switches se você não estiver usando-os ativamente.
    A verificação de integridade da rede está desativada por padrão. Uma vez habilitados, os pacotes de verificação de integridade contêm informações sobre o host, o switch e a porta que um invasor pode usar. Use a verificação de integridade de rede somente para solução de problemas e desative-a quando a solução de problemas estiver concluída.
  7. Proteja o tráfego virtual contra ataques de representação e interceptação de Camada 2 configurando uma política de segurança em grupos de portas ou portas.
    A política de segurança em grupos de portas e portas distribuídas inclui as seguintes opções:
    Você pode visualizar e alterar as configurações atuais selecionando Manage Distributed Port Groups (Manage Distributed Port Groups) no menu do botão direito do switch distribuído e selecionando Security (Security) no assistente. Consulte a documentação do Rede do vSphere .