Sie können ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit mit MAC-Ziel-Adressen aus der BPDU-Liste zulässiger Adressen anlegen und die Beschränkung der Rate konfigurieren.
Voraussetzungen
-
Machen Sie sich mit dem Konzept des Switching-Profils für die Switch-Sicherheit vertraut. Siehe Grundlegendes zum Switching-Profil für die Switch-Sicherheit.
-
Stellen Sie sicher, dass der Modus Manager in der Benutzerschnittstelle von NSX Manager ausgewählt ist. Siehe NSX Manager. Wenn die Modusschaltflächen Richtlinie und Manager nicht angezeigt werden, finden Sie Informationen unter Konfigurieren der Benutzeroberflächeneinstellungen.
Prozedur
- Melden Sie sich mit Administratorrechten bei NSX Manager an.
- Wählen Sie aus.
- Klicken Sie auf die Registerkarte Switching-Profile.
- Klicken Sie auf Hinzufügen, und wählen Sie Switch-Sicherheit aus.
- Vervollständigen Sie die Details des Switching-Profils für die Switch-Sicherheit.
Option Beschreibung Name und Beschreibung Weisen Sie dem Switching-Profil für die Switch-Sicherheit einen Namen zu.
Optional können Sie für die im Profil geänderte Einstellung eine Beschreibung eingeben.
BPDU-Filter Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.
Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.
Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können. DHCP-Filter Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Pakete, deren UDP-Zielportnummer 68 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCP-Server zu einem DHCP-Relay-Agent nicht blockiert wird und dass für einen DHCP-Server, der einem DHCP-Relay-Agent antwortet, die DHCP-Clientblockierung deaktiviert sein muss.
Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 67 lautet, werden blockiert.
DHCPv6-Filter Schalten Sie die Schaltflächen V6-Serverblock und V6-Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.
Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Pakete, deren UDP-Zielportnummer 546 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCPv6-Server zu einem DHCPv6-Relay-Agent nicht blockiert wird und dass für einen DHCPv6-Server, der einem DHCPv6-Relay-Agent antwortet, die DHCPv6-Clientblockierung deaktiviert sein muss.
Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCPv6-IP-Adresse erhält, indem DHCPv6-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 547 lautet, werden blockiert.
Nicht-IP-Datenverkehr blockieren Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.
Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.
Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.
RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert. Ratenbegrenzungen Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.
Ratenbegrenzungen können verwendet werden, um den logischen Switch oder VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.
Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.
- Klicken Sie auf Hinzufügen.
Ergebnisse
Ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit wird als Link angezeigt.
Nächste Maßnahme
Hängen Sie dieses benutzerdefinierte Switching-Profil für die Switch-Sicherheit an einen logischen Switch oder logischen Port an, damit die im Switching-Profil geänderten Parameter auf den Netzwerkdatenverkehr angewendet werden. Siehe Zuordnen eines benutzerdefinierten Profils zu einem logischen Switch im Manager-Modus oder Zuordnen eines benutzerdefinierten Profils zu einem logischen Port im Manager-Modus.