Das Switching-Profil für die MAC-Verwaltung unterstützt zwei Funktionen: MAC Learning und MAC-Adressänderung.
Die Änderungsfunktion für die MAC-Adresse ermöglicht einem VM die Änderung der zugehörigen MAC-Adresse. Eine mit einem Port verbundene VM kann einen administrativen Befehl zur Änderung der MAC-Adresse ihrer vNIC ausführen, und es kann weiterhin Datenverkehr an diese vNIC gesendet bzw. von ihr empfangen werden. Diese Funktion wird nur für ESXi- und nicht für KVM-VMs unterstützt. Im standardmäßigen Switching-Profil für die MAC-Verwaltung ist diese Eigenschaft standardmäßig aktiviert.
MAC Learning bietet eine Netzwerkkonnektivität für Bereitstellungen, in denen mehrere MAC-Adressen hinter einer vNIC konfiguriert sind. Ein Beispiel ist eine geschachtelte Hypervisor-Bereitstellung, in der eine ESXi-VM auf einem ESXi-Host ausgeführt wird und mehrere VMs innerhalb der ESXi-VM ausgeführt werden. Ohne MAC Learning ist die MAC-Adresse, wenn die vNIC der ESXi-VM eine Verbindung mit einem Switch-Port herstellt, statisch. VMs, die innerhalb der ESXi-VM ausgeführt werden, verfügen über keine Netzwerkkonnektivität, da ihre Pakete über unterschiedliche MAC-Quelladressen verfügen. Beim MAC Learning überprüft vSwitch die MAC-Quelladresse jedes Pakets von der vNIC, ruft die MAC-Adresse ab und gestattet dem Paket die Weiterleitung. Wird eine erlernte MAC-Adresse eine bestimmte Zeit lang nicht verwendet, wird sie entfernt. Diese zeitliche Festlegung ist nicht konfigurierbar.
MAC Learning lernt keine MAC-Adresse, wenn es sich bereits um eine bekannte statische MAC-Adresse auf dem Host handelt. Beispielsweise gehört die MAC-Adresse zur vNIC einer anderen VM, einem vmknic oder einem VDR-Port (Virtual Distributed Router). Dies gilt unabhängig vom VLAN oder VNI des vorhandenen statischen MAC-Adressports und dem Port, zu dem die neue MAC-Adresse gehört.
Hinweis: Ein VDR-Port ist immer so konfiguriert, dass er Datenverkehr auf jedem möglichen VNI sendet und empfängt (ähnlich wie sich ein Stamm-VLAN-Port verhält, wenn er auf 0-4094 konfiguriert ist). Daher ist die Verwendung einer VDR-Port-MAC-Adresse auf einem beliebigen Overlay-Segment durch MAC Learning nicht möglich.
MAC Learning unterstützt auch unbekanntes Unicast Flooding. Im Normalfall wird ein Paket, das von einem Port empfangen wird und über eine unbekannte Ziel-MAC-Adresse verfügt, verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn MAC Learning aktiviert ist.
- Verwerfen – Pakete von einer unbekannten MAC-Quelladresse werden verworfen. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
- Zulassen – Pakete von einer unbekannten MAC-Quelladresse werden weitergeleitet, obwohl die Adresse nicht erlernt wird. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
Wenn Sie MAC Learning und die MAC-Adressänderung aktiviert haben, müssen Sie zur Verbesserung der Sicherheit zusätzlich SpoofGuard konfigurieren.