管理员可选择多种方式来确保其 vSphere 环境中的 vSphere Distributed Switch 安全。

过程

  1. 对于具有静态绑定的分布式端口组,验证已禁用了自动扩展功能。

    默认情况下,自动扩展在 vSphere 5.1 及更高版本中处于启用状态。

    要禁用自动扩展,请使用 vSphere Web Services SDK 或命令行界面配置分布式端口组下的 autoExpand 属性。请参见《vSphere Web Services SDK》文档。

  2. 确保已完整记录所有 vSphere Distributed Switch 的全部专用 VLAN ID。
  3. 如果您在 dvPortgroup 上使用 VLAN 标记,则 VLAN ID 必须与外部可识别 VLAN 的上游交换机上的 ID 相对应。如果未完整跟踪 VLAN ID,错误地重用 ID 可能会使不适当的物理机和虚拟机之间产生流量。同样,VLAN ID 错误或缺失可能导致无法在物理机和虚拟机之间传递流量。
  4. 确保与 vSphere Distributed Switch 关联的虚拟端口组上不存在任何未使用的端口。
  5. 标记所有 vSphere Distributed Switch。

    ESXi 主机关联的 vSphere Distributed Switch 需要交换机名称字段。此标签可以充当交换机的功能描述符,就像与物理交换机关联的主机名称一样。vSphere Distributed Switch 上的标签表示交换机的功能或 IP 子网。例如,可以将交换机标记为内部交换机,以表示该交换机仅用于虚拟机的专用虚拟交换机之间的内部网络,并且未绑定任何物理网络适配器。

  6. 如果当前未使用 vSphere Distributed Switch 的网络健康检查功能,请禁用该功能。

    默认情况下,网络健康检查功能处于禁用状态。启用后,健康检查包将包含有关攻击者可能使用的主机、交换机和端口的信息。网络健康检查功能仅用于故障排除,完成故障排除后应将其关闭。

  7. 通过在端口组或端口上配置安全策略,保护虚拟流量免受模拟和第 2 层拦截攻击。

    分布式端口组和端口上的安全策略包括以下选项:

    您可以查看和更改当前设置,方法是从 Distributed Switch 的右键菜单中选择管理分布式端口组,然后在向导中选择安全性。请参见《vSphere 网络连接》文档。