对于 vSphere 标准交换机,您可以在虚拟机的客户机操作系统中配置安全策略以拒绝 MAC 地址和混杂模式更改。

关于此任务

您也可以为单个标准端口组配置安全策略。

过程

  1. vSphere Web Client 中,导航到主机。
  2. 管理选项卡上单击网络,然后选择虚拟交换机
  3. 从列表中选择一台标准交换机,然后单击编辑设置
  4. 选择安全性,然后接受或拒绝与标准交换机相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改。

    默认情况下,不接受同时为入站流量和出站流量启用混杂模式和 MAC 地址更改。

    选项

    描述

    混杂模式

    • 拒绝:在客户机操作系统中将适配器置于混杂模式不会导致接收其他虚拟机的帧。

    • 接受:如果在客户机操作系统中将适配器置于混杂模式,则交换机将允许客户机适配器按照该适配器所连接到的端口上的活动 VLAN 策略接收在交换机上传递的所有帧。

      防火墙、端口扫描程序、入侵检测系统等需要在混杂模式下运行。

    MAC 地址更改

    • 拒绝:如果将 MAC 地址更改设置为拒绝,并且客户机操作系统将适配器的 MAC 地址更改为不同于虚拟机配置文件 (.vmx) 中的地址,则交换机会丢弃所有到虚拟机适配器的入站帧。

      如果客户机操作系统恢复 MAC 地址,则虚拟机将再次收到帧。

    • 接受:如果客户机操作系统更改了网络适配器的 MAC 地址,则交换机将允许到该适配器的新地址的帧通过。

    伪信号

    • 拒绝:如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于 .vmx 配置文件中的源 MAC 地址,则交换机会丢弃该出站帧。

    • 接受:交换机不执行筛选,允许所有出站帧通过。

  5. 单击确定