Sie können ein benutzerdefiniertes Segmentprofil für die Segmentsicherheit erstellen, wenn die Einstellungen des Standardprofils Ihre Anforderungen nicht erfüllen.
Voraussetzungen
Machen Sie sich mit dem Konzept des Segmentmprofils für die Segmentsicherheit vertraut. Siehe Grundlegendes zu Segmentprofilen für die Segmentsicherheit.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie .
- Klicken Sie auf Segmentprofil hinzufügen und wählen Sie Segmentsicherheit aus.
- Vervollständigen Sie die Details des Segment-Sicherheitsprofils.
Option Beschreibung Name Name des Profils. BPDU-Filter Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.
Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.
Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können. DHCP-Filter Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Pakete, deren UDP-Zielportnummer 68 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCP-Server zu einem DHCP-Relay-Agent nicht blockiert wird und dass für einen DHCP-Server, der einem DHCP-Relay-Agent antwortet, die DHCP-Clientblockierung deaktiviert sein muss.
Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 67 lautet, werden blockiert.
DHCPv6-Filter Schalten Sie die Schaltflächen Serverblock - IPv6 und Clientblock - IPv6 zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Pakete, deren UDP-Zielportnummer 546 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCPv6-Server zu einem DHCPv6-Relay-Agent nicht blockiert wird und dass für einen DHCPv6-Server, der einem DHCPv6-Relay-Agent antwortet, die DHCPv6-Clientblockierung deaktiviert sein muss.
Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCPv6-IP-Adresse erhält, indem DHCPv6-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 547 lautet, werden blockiert.
Nicht-IP-Datenverkehr blockieren Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.
Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.
Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.
RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert. Ratenbegrenzungen Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.
Ratenbegrenzungen können verwendet werden, um die Arbeitslasten und VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.
Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.
- Klicken Sie auf Speichern.