虚拟机上安装的 VMware Tools 可以检测虚拟机的 IP 地址,也可以通过 DHCP 侦听和 ARP 侦听进行检测。可以在同一 NSX 安装中将这些 IP 发现方法一起使用。

您可以在全局级别或主机群集级别指定 IP 检测类型。通常,具有安全管理员和安全工程师角色的用户可能更希望在全局级别指定 IP 检测类型。他们使用检测到的虚拟机 IP 地址配置 SpoofGuard 策略和分布式防火墙策略。

具有企业管理员角色的用户通常可以更全面地了解整个虚拟网络,并且可能更希望在主机群集级别编辑设置以控制 IP 检测类型。主机群集级别的 IP 检测设置覆盖在全局级别指定的设置。

过程

  1. 导航到更改 IP 检测类型页面。
    IP 检测级别 步骤
    全局 IP 检测
    1. 导航到网络和安全 > 安全性 > SpoofGuard
    2. IP 检测类型旁边,单击 齿轮图标 图标。
    主机群集 IP 检测
    1. 导航到网络和安全 > 安装和升级 > 主机准备
    2. 单击要更改 IP 检测类型的群集,然后单击操作 > 更改 IP 检测类型
  2. 选择所需的 IP 检测类型,然后单击保存 (Save)确定 (OK)
    IP 检测类型 说明
    DHCP 侦听 NSX 读取 DHCP 侦听条目以检测网络中的虚拟机的 IP 地址。
    ARP 侦听 NSX 使用 ARP 侦听机制检测虚拟机的 IP 地址。
    建议: 在使用 ARP 侦听检测 IP 地址时配置 SpoofGuard。SpoofGuard 可以帮助保护您的网络以抵御 ARP 攻击。
  3. 如果选择了 ARP 侦听,请输入必须为每个虚拟机的每个 vNIC 检测的最大 ARP IP 地址数。默认值为 1。
    ARP 侦听最多可以为每个虚拟机的每个 vNIC 检测 128 个 IP 地址。有效值范围是 1 到 128。例如,如果指定值 5,则表示最多为每个虚拟机的每个 vNIC 检测前五个 IP 地址。

    不会自动移除使用 ARP 侦听检测到的 IP 地址。换句话说,使用 ARP 侦听检测到的 vNIC IP 地址没有超时。

后续步骤

  • 如果启用了 ARP 侦听,请考虑配置 SpoofGuard 的选项,从而保护您的网络以抵御 ARP 攻击。
  • 配置默认防火墙规则。