您可以使用允许的 BPDU 列表中的 MAC 目标地址创建自定义分段安全分段配置文件并配置速率限制。

前提条件

熟悉分段安全分段配置文件概念。请参见了解交换机安全交换配置文件

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > 分段 > 分段配置文件
  3. 单击添加分段配置文件,然后选择分段安全
  4. 填写分段安全配置文件详细信息。
    选项 描述
    名称 配置文件的名称。
    BPDU 筛选器

    切换 BPDU 筛选器按钮以启用 BPDU 筛选。默认情况下,将禁用该按钮。

    如果启用了 BPDU 筛选器,将阻止到 BPDU 目标 MAC 地址的所有流量。如果启用,BPDU 筛选器还会在逻辑交换机端口上禁用 STP,因为这些端口应该不会加入 STP。

    BPDU 筛选器允许列表 单击 BPDU 目标 MAC 地址列表中的目标 MAC 地址以允许将流量传输到允许的目标。您必须启用 BPDU 筛选器才能从该列表中进行选择。
    DHCP 筛选器

    切换服务器阻止按钮和客户端阻止按钮以启用 DHCP 筛选。默认情况下,将禁用这两个按钮。

    “DHCP 服务器阻止”阻止从 DHCP 服务器到 DHCP 客户端的流量。请注意,它不会阻止从 DHCP 服务器到 DHCP 中继代理的流量。

    “DHCP 客户端阻止”阻止 DHCP 请求以禁止虚拟机获取 DHCP IP 地址。

    DHCPv6 筛选器

    切换服务器阻止 - IPv6 按钮和客户端阻止 - IPv6 按钮以启用 DHCP 筛选。默认情况下,将禁用这两个按钮。

    “DHCPv6 服务器阻止”可阻止从 DHCPv6 服务器到 DHCPv6 客户端的流量。请注意,它不会阻止从 DHCP 服务器到 DHCP 中继代理的流量。筛选出 UDP 源端口号为 547 的数据包。

    “DHCPv6 客户端阻止”会阻止 DHCP 请求以禁止虚拟机获取 DHCP IP 地址。筛选出 UDP 源端口号为 546 的数据包。

    阻止非 IP 流量

    切换阻止非 IP 流量按钮以仅允许 IPv4、IPv6、ARP、GARP 和 BPDU 流量。

    将阻止其余非 IP 流量。允许的 IPv4、IPv6、ARP、GARP 和 BPDU 流量基于在地址绑定和 SpoofGuard 配置中设置的其他策略。

    默认情况下,将禁用该选项以允许将非 IP 流量作为常规流量进行处理。

    RA 防护 切换 RA 防护按钮以筛选出输入 IPv6 路由器通告。筛选出 ICMPv6 类型的 134 个数据包。默认情况下,将启用该选项。
    速率限制

    设置广播和多播流量的速率限制。默认情况下,将启用该选项。

    可以使用速率限制保护逻辑交换机或虚拟机,以免受到广播风暴等事件的影响。

    为了避免任何连接问题,最小速率限制值必须大于或等于 10 pps。

  5. 单击保存