Sie können ein benutzerdefiniertes Segmentprofil für die Segmentsicherheit erstellen, wenn die Einstellungen des Standardprofils Ihre Anforderungen nicht erfüllen.
Voraussetzungen
Machen Sie sich mit dem Konzept des Segmentmprofils für die Segmentsicherheit vertraut. Siehe Grundlegendes zu Segmentprofilen für die Segmentsicherheit.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie .
- Klicken Sie auf Segmentprofil hinzufügen und wählen Sie Segmentsicherheit aus.
- Vervollständigen Sie die Details des Segment-Sicherheitsprofils.
Option Beschreibung Name Name des Profils. BPDU-Filter Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.
Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.
Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können. DHCP-Filter Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert.
Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden.
DHCPv6-Filter Schalten Sie die Schaltflächen Serverblock - IPv6 und Clientblock - IPv6 zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Dabei wird kein Datenverkehr von einem DHCP-Server an einen DHCP-Relay-Agent blockiert. Pakete, deren UDP-Quellportnummer 547 beträgt, werden gefiltert.
Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Quellportnummer 546 beträgt, werden gefiltert.
Nicht-IP-Datenverkehr blockieren Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.
Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.
Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.
RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert. Ratenbegrenzungen Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.
Ratenbegrenzungen können verwendet werden, um die Arbeitslasten und VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.
Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.
- Klicken Sie auf Speichern.