确保每个 ESXi 主机上物理交换机的安全,以防止攻击者获取对主机及其虚拟机的访问权限。

为了最好地保护主机,请确保物理交换机端口已配置为禁用跨树,并确保为外部物理交换机和虚拟交换机标记 (VST) 模式下的虚拟机之间的中继链接配置了非协商选项。

过程

  1. 登录物理交换机并确保禁用了跨树协议,或确保为连接 ESXi 主机的所有物理交换机端口配置了 Port Fast。
  2. 对于执行桥接或路由的虚拟机,定期检查第一个上游物理交换机端口是否配置为禁用 BPDU Guard 和 Port Fast,但启用跨树协议。
    在 vSphere 5.1 及更高版本中,为了防止物理交换机受到潜在的拒绝服务 (DoS) 攻击,可以在 ESXi 主机上启动客户机 BPDU 筛选器。
  3. 登录物理交换机并确保连接 ESXi 主机的物理交换机端口上未启用动态中继协议 (DTP)。
  4. 如果物理交换机端口连接虚拟交换机 VLAN 中继端口,则定期检查物理交换机端口以确保它们被正确配置为中继端口。