Das MAC Discovery-Segmentprofil unterstützt zwei Funktionen: MAC Learning und MAC-Adressänderung.
Die Änderungsfunktion für die MAC-Adresse ermöglicht einem VM die Änderung der zugehörigen MAC-Adresse. Eine mit einem Port verbundene VM kann einen administrativen Befehl zur Änderung der MAC-Adresse ihrer vNIC ausführen, und es kann weiterhin Datenverkehr an diese vNIC gesendet bzw. von ihr empfangen werden. Diese Funktion wird nur auf ESXi unterstützt. Im standardmäßigen MAC Discovery-Segmentprofil ist diese Eigenschaft aktiviert.
MAC Learning bietet eine Netzwerkkonnektivität für Bereitstellungen, in denen mehrere MAC-Adressen hinter einer vNIC konfiguriert werden. Ein Beispiel ist eine geschachtelte Hypervisor-Bereitstellung, in der eine ESXi-VM auf einem ESXi-Host ausgeführt wird und mehrere VMs innerhalb der ESXi-VM ausgeführt werden. Wenn die vNIC der ESXi-VM eine Verbindung mit einem Segment-Port herstellt, ist die MAC-Adresse ohne MAC Learning statisch. VMs, die innerhalb der ESXi-VM ausgeführt werden, verfügen über keine Netzwerkkonnektivität, da ihre Pakete über unterschiedliche MAC-Quelladressen verfügen. Beim MAC Learning überprüft vSwitch die MAC-Quelladresse jedes Pakets von der vNIC, ruft die MAC-Adresse ab und gestattet dem Paket die Weiterleitung. Wird eine erlernte MAC-Adresse eine bestimmte Zeit lang nicht verwendet, wird sie entfernt. Dieser Zeitraum ist nicht konfigurierbar. Das Feld MAC Learning-Alterungszeit zeigt den vordefinierten Wert an, der 600 ist.
MAC Learning lernt keine MAC-Adresse, wenn es sich bereits um eine bekannte statische MAC-Adresse auf dem Host im selben VLAN oder VNI handelt. Beispielsweise gehört die MAC-Adresse zur vNIC einer anderen VM, einem vmknic oder einem VDR-Port (Virtual Distributed Router).
Hinweis: Ein VDR-Port ist immer so konfiguriert, dass er Datenverkehr auf jedem möglichen VNI sendet und empfängt (ähnlich wie sich ein Stamm-VLAN-Port verhält, wenn er auf 0-4094 konfiguriert ist). Daher ist die Verwendung einer VDR-Port-MAC-Adresse auf einem beliebigen Overlay-Segment durch MAC Learning nicht möglich.
MAC Learning unterstützt auch unbekanntes Unicast Flooding. Im Normalfall wird ein Paket, das von einem Port empfangen wird und über eine unbekannte Ziel-MAC-Adresse verfügt, verworfen. Bei aktiviertem Flooding des Datenverkehrs vom Typ „Unbekannter Unicast“ leitet der Port diesen Datenverkehr an jeden Port auf dem Switch weiter, für den MAC Learning und unbekanntes Unicast-Flooding aktiviert wurden. Diese Eigenschaft ist standardmäßig aktiviert, wenn MAC Learning aktiviert ist.
- Verwerfen – Pakete von einer unbekannten MAC-Quelladresse werden verworfen. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
- Zulassen – Pakete von einer unbekannten MAC-Quelladresse werden weitergeleitet, obwohl die Adresse nicht erlernt wird. Pakete, die bei dieser MAC-Adresse eingehen, werden als unbekannte Unicast-Objekte behandelt. Der Port empfängt die Pakete nur dann, wenn unbekanntes Unicast-Flooding aktiviert ist.
Wenn Sie MAC Learning und die MAC-Adressänderung aktiviert haben, müssen Sie zur Verbesserung der Sicherheit zusätzlich SpoofGuard konfigurieren.