管理员可使用几个选项确保其 vSphere 环境中 VLAN 的安全。

过程

  1. 确保端口组未配置为上游物理交换机预留的 VLAN 值

    请勿使用为物理交换机预留的值设置 VLAN ID。

  2. 确保端口组未配置为 VLAN 4095,除非用于虚拟客户机标记 (VGT)。

    vSphere 中存在三种 VLAN 标记类型:

    • 外部交换机标记 (EST)

    • 虚拟交换机标记 (VST) - 虚拟交换机使用已配置的 VLAN ID 标记传入附加虚拟机的流量,并将 VLAN 标记从传出虚拟机的流量中移除。要设置 VST 模式,请分配 1 到 4095 之间的 VLAN ID。

    • 虚拟客户机标记 (VGT) - 虚拟机处理 VLAN 流量。要激活 VGT 模式,请将 VLAN ID 设置为 4095。在 Distributed Switch 上,还可以使用 VLAN 中继选项允许基于 VLAN 的虚拟机流量。

    在标准交换机上,可以在交换机或端口组级别上配置 VLAN 网络连接模式,而在 Distributed Switch 上,则在分布式端口组或端口级别。

  3. 确保完全记录了每台虚拟交换机上的所有 VLAN,而且每台虚拟交换机有且仅有所需的 VLAN。