可以通过限制虚拟机网络适配器的一些 MAC 地址模式,来保护标准交换机流量不受第 2 层的攻击。

每个虚拟机网络适配器均包含一个初始 MAC 地址和一个有效 MAC 地址。

初始 MAC 地址
创建适配器时将分配初始 MAC 地址。尽管可以从客户机操作系统外部重新配置初始 MAC 地址,但不能由客户机操作系统进行更改。
有效 MAC 地址
每个适配器均具有一个有效 MAC 地址,可筛选与该有效 MAC 地址不同的目标 MAC 地址的入站网络流量。客户机操作系统负责设置有效 MAC 地址,并通常将有效 MAC 地址与初始 MAC 地址保持一致。

虚拟机网络适配器一经创建后,其有效 MAC 地址与初始 MAC 地址相同。客户机操作系统可随时将有效 MAC 地址更改为其他值。如果操作系统更改了有效 MAC 地址,其网络适配器将接收传至新 MAC 地址的网络流量。

通过网络适配器发送数据包时,客户机操作系统通常将其适配器的有效 MAC 地址输入以太网帧的源 MAC 地址字段中。它还将接收网络适配器的 MAC 地址输入目标 MAC 地址字段中。接收网络适配器仅在数据包中的目标 MAC 地址与其自身有效的 MAC 地址匹配时才接受数据包。

操作系统可发送带有模拟源 MAC 地址的帧。因此,操作系统可以模拟接收端网络授权的网络适配器,并在网络中的设备上实施恶意攻击。

通过在端口组或端口上配置安全策略,保护虚拟流量免受模拟和第 2 层拦截攻击。

分布式端口组和端口上的安全策略包括以下选项:

您可以通过从 vSphere Client 选择与主机关联的虚拟交换机来查看和更改默认设置。请参见《vSphere 网络连接》文档。