发送网桥协议数据单元 (BPDU) 帧的虚拟机(如 VPN 客户端)会导致某些连接到相同端口组的虚拟机断开连接。传输 BPDU 帧可能也会断开主机或父 vSphere HA 群集的连接。

过程

  • 如果 VPN 软件必须继续在虚拟机上运行,则允许从虚拟机传出流量并单独配置物理交换机端口以传递 BPDU 帧。

    网络设备

    配置

    Distributed Switch 或标准交换机

    将端口组上的“伪信号”安全属性设置为接受,以允许 BPDU 帧离开主机并访问物理交换机端口。

    通过将虚拟机置于单独的端口组中并将物理适配器分配给组,可以隔离 VPN 流量的设置和物理适配器。

    警告:

    将“伪传输”安全属性设置为接受以启用主机来发送 BPDU 帧,此操作会带来安全风险,因为被攻击的虚拟机可以执行欺骗性攻击。

    物理交换机

    • 将“端口快速”保持启用状态。

    • 对于单个端口启用 BPDU 筛选器。BPDU 帧到达端口时,将被筛选出。

    注:

    请勿全局启用 BPDU 筛选器。如果全局启用 BPDU 筛选器,则“端口快速”模式将被禁用,并且所有物理交换机端口将执行 STP 的全套功能。

  • 要在均连接到第 2 层网络的两个虚拟机网卡之间部署网桥设备,请允许从虚拟机中传出 BPDU 流量并取消激活“端口快速”和 BPDU 循环阻止功能。

    网络设备

    配置

    Distributed Switch 或标准交换机

    将端口组上安全策略的“伪信号”属性设置为接受,以允许 BPDU 帧离开主机并访问物理交换机端口。

    通过将虚拟机置于单独的端口组中并将物理适配器分配给组,可以隔离网桥流量的设置以及一个或多个物理适配器。

    警告:

    将“伪传输”安全属性设置为接受以启用网桥部署,此操作会带来安全风险,因为被攻击的虚拟机可以进行欺骗性攻击。

    物理交换机

    • 对虚拟网桥设备的端口禁用“端口快速”,以便在其上运行 STP。

    • 对于面对网桥设备的端口禁用 BPDU 防护和筛选器。

  • 任何情况下,通过在 ESXi 主机或物理交换机上激活 BPDU 筛选器可保护环境不受 DoS 攻击。
    • 在运行 ESXi 4.1 Update 3、ESXi 5.0 Patch 04 及更高 5.0 版本,以及 ESXi 5.1 Patch 01 及更高版本的主机上,按以下方式之一启用客户机 BPDU 筛选器,然后重新引导主机:

      • vSphere Web Client 中主机的配置选项卡上的“高级系统设置”表中,将 Net.BlockGuestBPDU 属性设置为 1

      • 在主机的 ESXi Shell 中,键入以下 vCLI 命令:

        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • 在未实施客户机 BPDU 筛选器的主机上,对虚拟网桥设备的物理交换机端口启用 BPDU 筛选器。

      网络设备

      配置

      Distributed Switch 或标准交换机

      将端口组上安全策略的“伪信号”属性设置为拒绝

      物理交换机

      • 保持“端口快速”配置。

      • 对单个物理交换机端口启用 BPDU 筛选器。BPDU 帧到达物理端口时,将被筛选出。

      注:

      请勿全局启用 BPDU 筛选器。如果全局启用 BPDU 筛选器,则“端口快速”模式将被禁用,并且所有物理交换机端口将执行 STP 的全套功能。