Sie können ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit mit MAC-Ziel-Adressen aus der BPDU-Liste zulässiger Adressen anlegen und die Beschränkung der Rate konfigurieren.

Voraussetzungen

Machen Sie sich mit dem Konzept des Switching-Profils für die Switch-Sicherheit vertraut. Siehe Grundlegendes zum Switching-Profil für die Switch-Sicherheit.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://nsx-manager-ip-address mit Administratorrechten bei einem NSX Manager an.
  2. Wählen Sie im Navigationsbereich Netzwerk > Switching.
  3. Klicken Sie auf die Registerkarte Switching-Profile.
  4. Klicken Sie auf Hinzufügen, und wählen Sie Switch-Sicherheit aus.
  5. Vervollständigen Sie die Details des Switching-Profils für die Switch-Sicherheit.
    Option Beschreibung
    Name und Beschreibung

    Weisen Sie dem Switching-Profil für die Switch-Sicherheit einen Namen zu.

    Optional können Sie für die im Profil geänderte Einstellung eine Beschreibung eingeben.

    BPDU-Filter

    Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um.

    Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.

    Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen.
    DHCP-Filter

    Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um.

    Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert.

    Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden.

    Nicht-IP-Datenverkehr blockieren

    Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr zuzulassen.

    Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.

    Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.

    Ratenbegrenzungen

    Legen Sie einen Grenzwert für die Rate des eingehenden oder ausgehenden Broadcast- und Multicast-Datenverkehrs fest.

    Durch Konfiguration einer beschränkten Datenverkehrsrate können Sie den logischen Switch oder die VM schützen, z. B. vor exzessivem Broadcast-Datenverkehr.

    Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.

  6. Klicken Sie auf Hinzufügen.

Ergebnisse

Ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit wird als Link angezeigt.

Nächste Maßnahme

Hängen Sie dieses benutzerdefinierte Switching-Profil für die Switch-Sicherheit an einen logischen Switch oder logischen Port an, damit die im Switching-Profil geänderten Parameter auf den Netzwerkdatenverkehr angewendet werden. Siehe Zuordnen eines benutzerdefinierten Profils zu einem logischen Switch oder Zuordnen eines benutzerdefinierten Profils zu einem logischen Port.