Proteja o comutador físico em cada host ESXi para evitar que invasores obtenham acesso ao host e às suas máquinas virtuais.

Para obter a melhor proteção dos seus hosts, certifique-se de que as portas do switch físico estejam configuradas com spanning tree desativado e certifique-se de que a opção de não negociação esteja configurada para links de tronco entre switches físicos externos e switches virtuais no modo VST (Virtual Switch Tagging).

Procedimento

  1. Faça login no comutador físico e certifique-se de que o protocolo spanning tree esteja desativado ou que o Port Fast esteja configurado para todas as portas do comutador físico conectadas a hosts ESXi.
  2. Para máquinas virtuais que realizam ponte ou roteamento, verifique periodicamente se a primeira porta do switch físico upstream está configurada com o BPDU Guard e o Port Fast desativados e com o protocolo spanning tree ativado.
    Para evitar que o comutador físico sofra possíveis ataques de negação de serviço (DoS), você pode ativar o filtro de BPDU de convidado nos hosts ESXi.
  3. Faça login no switch físico e certifique-se de que o Dynamic Trunking Protocol (DTP) não esteja ativado nas portas do switch físico que estão conectadas aos hosts ESXi.
  4. Verifique rotineiramente as portas do comutador físico para garantir que elas estejam configuradas corretamente como portas de tronco se estiverem conectadas às portas de entroncamento de VLAN do comutador virtual.