对于 vSphere Standard Switch,您可以在虚拟机的客户机操作系统中配置安全策略以拒绝 MAC 地址和混杂模式更改。可以替代从单个端口组上的标准交换机继承的安全策略。
过程
- 在 vSphere Client 中,导航到主机。
- 在配置选项卡上,展开网络,然后选择虚拟交换机。
- 导航到标准交换机或端口组的安全策略。
选项 操作 vSphere 标准交换机 - 在列表中选择一个标准交换机。
- 单击编辑设置。
- 选择安全。
标准端口组 - 选择端口组所在的标准交换机。
- 在拓扑图中,选择一个标准端口组。
- 单击编辑设置。
- 选择安全,然后选择选项旁边的替代以替代。
- 拒绝或接受与标准交换机或端口组相连的虚拟机的客户机操作系统中混杂模式激活或 MAC 地址更改。
选项 描述 混杂模式 - 拒绝。虚拟机网络适配器仅接收发送到虚拟机的帧。
- 接受。虚拟交换机会将所有帧转发到符合虚拟机网络适配器所连接端口的活动 VLAN 策略的虚拟机。
注: 混杂模式是一种不安全的运行模式。防火墙、端口扫描程序、入侵检测系统必须在混杂模式下运行。MAC 地址更改 - 拒绝。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址(在 .vmx 配置文件中设置)不同的值,则交换机会丢弃所有到适配器的入站帧。
如果客户机操作系统将虚拟机的有效 MAC 地址更改回虚拟机网络适配器的 MAC 地址,则虚拟机将重新接收帧。
- 接受。如果客户机操作系统将虚拟机的有效 MAC 地址更改为与虚拟机网络适配器的 MAC 地址不同的值,则交换机将允许传递到新地址的帧。
伪信号 - 拒绝。如果从虚拟机适配器发出的出站帧的源 MAC 地址不同于 .vmx 配置文件中的源 MAC 地址,则交换机会丢弃该出站帧。
- 接受。交换机不执行筛选,并允许所有出站帧通过。
- 单击确定。