可以对分布式端口组设置安全策略,以允许或拒绝在与端口组关联的虚拟机的客户机操作系统中启用混杂模式和 MAC 地址更改。可以替代从单个端口上的分布式端口组继承的安全策略。
前提条件
要替代分布式端口级别的策略,请为此策略启用端口级别替代选项。请参见在端口级别配置替代网络策略。
过程
- 在 vSphere Web Client 中,导航到 Distributed Switch。
- 导航到分布式端口组或端口的安全策略。
选项 操作 分布式端口组 - 在操作菜单中,选择 。
- 选择安全。
- 选择端口组,然后单击下一步。
分布式端口 - 在网络选项卡上,单击分布式端口组,然后双击分布式端口组。
- 在端口选项卡上,选择端口,然后单击编辑分布式端口设置图标。
- 选择安全。
- 选择要替代的属性旁边的替代。
- 拒绝或接受与分布式端口组或端口相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改。
选项 描述 混杂模式 - 拒绝。虚拟机网络适配器仅接收发送到虚拟机的帧。
- 接受。虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机。
注: 混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模式下运行。MAC 地址更改 - 拒绝。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址(在 .vmx 配置文件中设置)不同的值,则交换机会丢弃所有到适配器的入站帧。
如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址,则虚拟机将重新接收帧。
- 接受。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机将允许传递到新地址的帧。
伪信号 - 拒绝。如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于 .vmx 配置文件中的源 MAC 地址,则交换机会丢弃该出站帧。
- 接受。交换机不执行筛选,并允许所有出站帧通过。
- 查看设置并应用配置。