确保每个 ESXi 主机上物理交换机的安全,以防止攻击者获取对主机及其虚拟机的访问权限。

为了让主机得到最好的保护,请确保物理交换机端口已配置为停用生成树,并确保为外部物理交换机和虚拟交换机标记 (VST) 模式下的虚拟机之间的中继链接配置了非协商选项。

过程

  1. 登录物理交换机并确保停用了生成树协议,或确保为连接 ESXi 主机的所有物理交换机端口配置了 Port Fast。
  2. 对于执行桥接或路由的虚拟机,定期检查第一个上游物理交换机端口是否配置为停用 BPDU Guard 和 Port Fast,但激活生成树协议。
    为了防止物理交换机受到潜在的拒绝服务 (DoS) 攻击,可以在 ESXi 主机上启动客户机 BPDU 筛选器。
  3. 登录物理交换机并确保连接 ESXi 主机的物理交换机端口上未激活动态中继协议 (DTP)。
  4. 如果物理交换机端口连接虚拟交换机 VLAN 中继端口,则定期检查物理交换机端口以确保它们被正确配置为中继端口。