管理员可选择多种方式来确保其 vSphere 环境中的 vSphere Distributed Switch 安全。
标准交换机中的 VLAN 规则同样适用于 vSphere Distributed Switch 中的 VLAN。有关详细信息,请参见标准交换机保护和 VLAN。
过程
- 对于具有静态绑定的分布式端口组,禁用自动扩展功能。
默认情况下,自动扩展在 vSphere 5.1 及更高版本中处于启用状态。
要禁用自动扩展,请使用 vSphere Web Services SDK 或命令行界面配置分布式端口组下的
autoExpand
属性。请参见
《vSphere Web Services SDK》文档。
- 确保已完整记录所有 vSphere Distributed Switch 的全部专用 VLAN ID。
- 如果您在 dvPortgroup 上使用 VLAN 标记,则 VLAN ID 必须与外部可识别 VLAN 的上游交换机上的 ID 相对应。如果未正确跟踪 VLAN ID,错误地重用 ID 可能会允许意外流量。同样,VLAN ID 错误或丢失可能导致无法在物理机和虚拟机之间传递流量。
- 确保与 vSphere Distributed Switch 关联的虚拟端口组上不存在任何未使用的端口。
- 标记所有 vSphere Distributed Switch。
与
ESXi 主机关联的 vSphere Distributed Switch 需要交换机名称文本框。此标签可以充当交换机的功能描述符,就像与物理交换机关联的主机名称一样。vSphere Distributed Switch 上的标签表示交换机的功能或 IP 子网。例如,可以将交换机标记为内部交换机,以表示该交换机仅用于虚拟机的专用虚拟交换机上的内部网络连接。没有流量会经过物理网络适配器。
- 如果当前未使用 vSphere Distributed Switch 的网络运行状况检查功能,请禁用该功能。
默认情况下,网络运行状况检查功能处于禁用状态。启用后,运行状况检查包将包含有关攻击者可能使用的主机、交换机和端口的信息。网络运行状况检查功能仅用于故障排除,完成故障排除后应将其关闭。
- 通过在端口组或端口上配置安全策略,保护虚拟流量免受模拟和第 2 层拦截攻击。
您可以查看和更改当前设置,方法是从 Distributed Switch 的右键菜单中选择
管理分布式端口组,然后在向导中选择
安全性。请参见
《vSphere 网络连接》文档。