Sie können ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit mit MAC-Ziel-Adressen aus der BPDU-Liste zulässiger Adressen anlegen und die Beschränkung der Rate konfigurieren.

Voraussetzungen

Prozedur

  1. Melden Sie sich in Ihrem Browser mit Administratorrechten bei einem NSX Manager unter https://<nsx-manager-ip-address> an.
  2. Klicken Sie auf Netzwerk > Logische Switches.
  3. Klicken Sie auf die Registerkarte Switching-Profile.
  4. Klicken Sie auf Hinzufügen, und wählen Sie Switch-Sicherheit aus.
  5. Vervollständigen Sie die Details des Switching-Profils für die Switch-Sicherheit.
    Option Beschreibung
    Name und Beschreibung

    Weisen Sie dem Switching-Profil für die Switch-Sicherheit einen Namen zu.

    Optional können Sie für die im Profil geänderte Einstellung eine Beschreibung eingeben.

    BPDU-Filter

    Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.

    Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.

    Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können.
    DHCP-Filter

    Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.

    Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert.

    Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden.

    DHCPv6-Filter

    Schalten Sie die Schaltflächen V6-Serverblock und V6-Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.

    Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert. Pakete, deren UDP-Quellportnummer 547 beträgt, werden gefiltert.

    Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Quellportnummer 546 beträgt, werden gefiltert.

    Nicht-IP-Datenverkehr blockieren

    Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.

    Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.

    Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.

    RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert.
    Ratenbegrenzungen

    Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.

    Ratenbegrenzungen können verwendet werden, um den logischen Switch oder VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.

    Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.

  6. Klicken Sie auf Hinzufügen.

Ergebnisse

Ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit wird als Link angezeigt.

Nächste Maßnahme

Hängen Sie dieses benutzerdefinierte Switching-Profil für die Switch-Sicherheit an einen logischen Switch oder logischen Port an, damit die im Switching-Profil geänderten Parameter auf den Netzwerkdatenverkehr angewendet werden. Siehe Zuordnen eines benutzerdefinierten Profils zu einem logischen Switch im Manager-Modus oder Zuordnen eines benutzerdefinierten Profils zu einem logischen Port im Manager-Modus.