了解如何允许或停止流量,以确保流经分布式端口组或上行链路端口组的端口的数据的安全。

过程

  1. vSphere Client 中查找分布式端口组或上行链路端口组。
    1. 选择 Distributed Switch,然后单击网络选项卡。
    2. 单击分布式端口组以查看分布式端口组列表,或单击上行链路端口组以查看上行链路端口组列表。
  2. 单击分布式端口组或上行链路端口组,然后选择配置选项卡。
  3. 在“设置”下,选择流量筛选和标记
  4. 如果“流量筛选和标记”处于禁用状态,请单击启用并重新排序 > 启用所有流量规则 > 确定
  5. 单击添加以创建新规则,或者选择一个规则并单击编辑以编辑该规则。
  6. 在“网络流量规则”对话框中,使用“操作”选项以允许流量通过分布式端口组或上行链路端口组的端口,或对其进行限制。
  7. 指定此规则所适用的流量种类。
    要确定某一数据流是否位于要标记或筛选的规则范围内,vSphere Distributed Switch 将检查流量的方向、源和目标等属性、VLAN、下一级别协议、基础架构流量类型等。
    1. 流量方向下拉菜单中,选择流量必须为输入、输出还是同时为这两者,才能使规则将其视为匹配。

      此方向还会影响您识别流量源和目标的方式。

    2. 通过使用系统数据类型限定符、第 2 层数据包属性和第 3 层数据包属性,可以设置数据包要与规则匹配而需要具备的属性。

      一个限定符表示一组与某个网络连接层相关的匹配条件。可以将流量与系统数据类型、第 2 层流量属性和第 3 层流量属性进行匹配。可以使用特定网络连接层的限定符,也可以结合使用多个限定符,以便更精确地匹配数据包。

      • 使用系统流量限定符将数据包与流经组端口的虚拟基础架构数据的类型进行匹配。例如,您可以对传输到网络存储的数据选择 NFS。
      • 使用 MAC 流量限定符可根据 MAC 地址、VLAN ID 和下一级别协议匹配数据包。

        可以使用虚拟客户机标记 (VGT) 在分布式端口组上查找具有某个 VLAN ID 的流量。如果要在虚拟交换机标记 (VST) 处于活动状态时将流量与 VLAN ID 进行匹配,请对上行链路端口组或上行链路端口使用一个规则。

      • 使用 IP 流量限定符可根据 IP 版本、IP 地址以及下一级别协议和端口匹配数据包。
  8. 在规则对话框中,单击确定以保存该规则。