通过使用规则,可允许或禁止流量,从而确保通过虚拟机、VMkernel 适配器或物理适配器的数据流的安全。

开始之前

为此策略启用端口级别替代选项。请参见使用 vSphere Web Client 编辑高级分布式端口组设置

过程

  1. 导航到分布式端口或上行链路端口。
    • 要导航到交换机的分布式端口,请单击管理 > 端口

    • 要导航到上行链路端口组中的上行链路端口,请单击相关对象 > 上行链路端口组,从列表中双击一个上行链路端口组,然后在管理选项卡上选择端口

  2. 从列表中选择端口。
  3. 单击编辑分布式端口设置
  4. 如果没有在端口级别启用流量筛选和标记,请单击替代,然后从状态下拉菜单中选择已启用
  5. 单击新建以创建新规则,或者选择一个规则并单击编辑以编辑该规则。

    您可以更改从分布式端口组或上行链路端口组继承的规则。可以通过这一方式使规则在端口范围内具有唯一性。

  6. 在网络流量规则对话框中,选择允许操作以允许流量通过分布式端口或上行链路端口,或选择丢弃操作以对其进行限制。
  7. 指定此规则所适用的流量种类。

    要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向、源和目标等属性、VLAN、下一级别协议、基础架构流量类型等。

    1. 流量方向下拉菜单中,选择流量必须为输入、输出还是同时为这两者,才能使规则将其视为匹配。

      此方向还会影响您识别流量源和目标的方式。

    2. 通过使用系统数据类型限定符、第 2 层数据包属性和第 3 层数据包属性,可以设置数据包要与规则匹配而需要具备的属性。

      一个限定符表示一组与某个网络连接层相关的匹配条件。可以将流量与系统数据类型、第 2 层流量属性和第 3 层流量属性进行匹配。可以使用特定网络连接层的限定符,也可以结合使用多个限定符,以便更精确地匹配数据包。

      • 使用系统流量限定符可将数据包与流经组端口的虚拟基础架构数据的类型进行匹配。例如,您可以对传输到网络存储的数据选择 NFS。

      • 使用 MAC 流量限定符可根据 MAC 地址、VLAN ID 和下一级别协议匹配数据包。

        可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量。如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配,请对上行链路端口组或上行链路端口使用一个规则。

      • 使用 IP 流量限定符可根据 IP 版本、IP 地址以及下一级别协议和端口匹配数据包。

  8. 在规则对话框中,单击确定以保存该规则。