Sie können ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit mit MAC-Ziel-Adressen aus der BPDU-Liste zulässiger Adressen anlegen und die Beschränkung der Rate konfigurieren.
Voraussetzungen
-
Machen Sie sich mit dem Konzept des Switching-Profils für die Switch-Sicherheit vertraut. Siehe Grundlegendes zum Switching-Profil für die Switch-Sicherheit.
-
Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren von Benutzeroberflächeneinstellungen.
Prozedur
- Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
- Klicken Sie auf .
- Klicken Sie auf die Registerkarte Switching-Profile.
- Klicken Sie auf Hinzufügen, und wählen Sie Switch-Sicherheit aus.
- Vervollständigen Sie die Details des Switching-Profils für die Switch-Sicherheit.
Option Beschreibung Name und Beschreibung Weisen Sie dem Switching-Profil für die Switch-Sicherheit einen Namen zu.
Optional können Sie für die im Profil geänderte Einstellung eine Beschreibung eingeben.
BPDU-Filter Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.
Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.
Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können. DHCP-Filter Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert.
Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden.
DHCPv6-Filter Schalten Sie die Schaltflächen V6-Serverblock und V6-Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert. Pakete, deren UDP-Quellportnummer 547 beträgt, werden gefiltert.
Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Quellportnummer 546 beträgt, werden gefiltert.
Nicht-IP-Datenverkehr blockieren Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.
Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.
Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.
RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert. Ratenbegrenzungen Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.
Ratenbegrenzungen können verwendet werden, um den logischen Switch oder VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.
Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.
- Klicken Sie auf Hinzufügen.
Ergebnisse
Ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit wird als Link angezeigt.
Nächste Maßnahme
Hängen Sie dieses benutzerdefinierte Switching-Profil für die Switch-Sicherheit an einen logischen Switch oder logischen Port an, damit die im Switching-Profil geänderten Parameter auf den Netzwerkdatenverkehr angewendet werden. Siehe Zuordnen eines benutzerdefinierten Profils zu einem logischen Switch im Manager-Modus oder Zuordnen eines benutzerdefinierten Profils zu einem logischen Port im Manager-Modus.
