Die IP-Adresse einer virtuellen Maschine kann durch VMware Tools, das auf der VM installiert ist, oder durch DHCP-Snooping und ARP-Snooping erkannt werden. Diese IP-Erkennungsmethoden können zusammen in derselben NSX-Installation verwendet werden.

Sie können die IP-Erkennungstypen entweder auf globaler Ebene oder auf Host-Cluster-Ebene angeben. In der Regel bevorzugen Benutzer mit Rollen für Sicherheitsadministratoren und Sicherheitsingenieure unter Umständen den IP-Erkennungstyp auf globaler Ebene. Sie verwenden die erkannten VM-IP-Adressen, um die SpoofGuard-Richtlinien und die Distributed Firewall-Richtlinien zu konfigurieren.

Benutzer mit einer Enterprise-Administratorrolle haben in der Regel einen viel größeren Überblick über das gesamte virtuelle Netzwerk und bevorzugen möglicherweise die Steuerung des IP-Erkennungstyps, indem Sie die Einstellungen auf der Host-Cluster-Ebene bearbeiten. Die IP-Erkennungseinstellungen auf der Host-Cluster-Ebene überschreiben die auf globaler Ebene festgelegten Einstellungen.

Prozedur

  1. Navigieren Sie zur Seite IP-Erkennungstyp ändern.
    IP-Erkennungsebene Schritte
    Globale IP-Erkennung
    1. Navigieren Sie zu Netzwerk und Sicherheit > Sicherheit > SpoofGuard.
    2. Klicken Sie neben IP-Erkennungstyp auf das Symbol Zahnradsymbol.
    Host-Cluster-IP-Erkennung
    1. Navigieren Sie zu Netzwerk und Sicherheit > Installation und Upgrade > Hostvorbereitung.
    2. Klicken Sie auf den Cluster, für den Sie den IP-Erkennungstyp ändern möchten, und dann auf Aktionen > IP-Erkennungstyp ändern.
  2. Wählen Sie die gewünschten IP-Erkennungstypen aus und klicken Sie auf Speichern (Save) oder auf OK.
    IP-Erkennungstyp Beschreibung
    DHCP-Snooping NSX erkennt die IP-Adressen der VMs im Netzwerk durch das Lesen der DHCP-Snooping-Einträge.
    ARP-Snooping NSX erkennt die IP-Adressen der VMs, durch das Verwenden des ARP-Snooping-Mechanismus.
    Empfehlung: Konfigurieren Sie SpoofGuard, wenn Sie das ARP-Snooping für das Erkennen von IP-Adressen verwenden. SpoofGuard hilft Ihnen, Ihr Netzwerk vor ARP-Poison-Angriffen zu schützen.
  3. Wenn Sie ARP-Snooping ausgewählt haben, geben Sie die maximalen ARP-IP-Adressen ein, die pro vNIC pro VM erkannt werden müssen. Der Standardwert ist 1.
    Beim ARP-Snooping können maximal 128 IP-Adressen pro vNIC pro VM erkannt werden. Der gültige Wertebereich liegt zwischen 1 und 128. Wenn Sie beispielsweise einen Wert von 5 angeben, bedeutet dies, dass maximal fünf IP-Adressen pro vNIC pro VM erkannt werden.

    IP-Adressen, die durch ARP-Snooping erkannt werden, werden nicht automatisch entfernt. Mit anderen Worten: Es gibt keine Zeitüberschreitung für vNIC-IP-Adressen, die mithilfe von ARP-Snooping erkannt werden.

Nächste Maßnahme

  • Wenn Sie das ARP-Snooping aktiviert haben, sollten Sie die Option zum Konfigurieren von SpoofGuard verwenden, um Ihr Netzwerk vor ARP-Poison-Angriffen zu schützen.
  • Konfigurieren Sie die Standard-Firewallregel.