您可以使用允许的 BPDU 列表中的 MAC 目标地址创建自定义交换机安全交换配置文件并配置速率限制。

前提条件

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择网络 > 逻辑交换机
  3. 单击交换配置文件选项卡。
  4. 单击添加,然后选择交换机安全
  5. 填写交换机安全配置文件详细信息。
    选项 描述
    名称和说明

    指定自定义交换机安全配置文件的名称。

    您可以选择描述在该配置文件中修改的设置。

    BPDU 筛选器

    切换 BPDU 筛选器按钮以启用 BPDU 筛选。默认情况下,将禁用该按钮。

    如果启用了 BPDU 筛选器,将阻止到 BPDU 目标 MAC 地址的所有流量。如果启用,BPDU 筛选器还会在逻辑交换机端口上禁用 STP,因为这些端口应该不会加入 STP。

    BPDU 筛选器允许列表 单击 BPDU 目标 MAC 地址列表中的目标 MAC 地址以允许将流量传输到允许的目标。您必须启用 BPDU 筛选器才能从该列表中进行选择。
    DHCP 筛选器

    切换服务器阻止按钮和客户端阻止按钮以启用 DHCP 筛选。默认情况下,将禁用这两个按钮。

    “DHCP 服务器阻止”阻止从 DHCP 服务器到 DHCP 客户端的流量。阻止 UDP 目标端口号为 68 的数据包。请注意,它不会阻止从 DHCP 服务器到 DHCP 中继代理的流量,并且回复 DHCP 中继代理的 DHCP 服务器必须禁用“DHCP 客户端阻止”。

    “DHCP 客户端阻止”阻止 DHCP 请求以禁止虚拟机获取 DHCP IP 地址。阻止 UDP 目标端口号为 67 的数据包。

    DHCPv6 筛选器

    切换 V6 服务器阻止按钮和 V6 客户端阻止按钮以启用 DHCP 筛选。默认情况下,将禁用这两个按钮。

    “DHCPv6 服务器阻止”可阻止从 DHCPv6 服务器到 DHCPv6 客户端的流量。阻止 UDP 目标端口号为 546 的数据包。请注意,它不会阻止从 DHCPv6 服务器到 DHCPv6 中继代理的流量,并且回复 DHCPv6 中继代理的 DHCPv6 服务器必须禁用“DHCPv6 客户端阻止”。

    “DHCPv6 客户端阻止”会阻止 DHCPv6 请求以禁止虚拟机获取 DHCPv6 IP 地址。阻止 UDP 目标端口号为 547 的数据包。

    阻止非 IP 流量

    切换阻止非 IP 流量按钮以仅允许 IPv4、IPv6、ARP、GARP 和 BPDU 流量。

    将阻止其余非 IP 流量。允许的 IPv4、IPv6、ARP、GARP 和 BPDU 流量基于在地址绑定和 SpoofGuard 配置中设置的其他策略。

    默认情况下,将禁用该选项以允许将非 IP 流量作为常规流量进行处理。

    RA 防护 切换 RA 防护按钮以筛选出输入 IPv6 路由器通告。筛选出 ICMPv6 类型的 134 个数据包。默认情况下,将启用该选项。
    速率限制

    设置广播和多播流量的速率限制。默认情况下,将启用该选项。

    可以使用速率限制保护逻辑交换机或虚拟机,以免受到广播风暴等事件的影响。

    为了避免任何连接问题,最小速率限制值必须大于或等于 10 pps。

  6. 单击添加

结果

自定义交换机安全配置文件将显示为一个链接。

下一步做什么

将该交换机安全自定义交换配置文件连接到一个逻辑交换机或逻辑端口,以便将该交换配置文件中修改的参数应用于网络流量。请参见在管理器模式下将自定义配置文件与逻辑交换机相关联在管理器模式下将自定义配置文件与逻辑端口相关联