Sie können ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit mit MAC-Ziel-Adressen aus der BPDU-Liste zulässiger Adressen anlegen und die Beschränkung der Rate konfigurieren.

Voraussetzungen

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Wählen Sie Netzwerk > Logische Switches aus.
  3. Klicken Sie auf die Registerkarte Switching-Profile.
  4. Klicken Sie auf Hinzufügen, und wählen Sie Switch-Sicherheit aus.
  5. Vervollständigen Sie die Details des Switching-Profils für die Switch-Sicherheit.
    Option Beschreibung
    Name und Beschreibung

    Weisen Sie dem Switching-Profil für die Switch-Sicherheit einen Namen zu.

    Optional können Sie für die im Profil geänderte Einstellung eine Beschreibung eingeben.

    BPDU-Filter

    Schalten Sie die Schaltfläche BPDU-Filter zur Aktivierung der BPDU-Filterung um. Standardmäßig deaktiviert.

    Wenn der BPDU-Filter aktiviert ist, wird der gesamte Datenverkehr zur BPDU-Ziel-MAC-Adresse blockiert. Dabei wird auch STP auf den logischen Switch-Ports deaktiviert, da davon ausgegangen wird, dass diese Ports nicht Bestandteil von STP sind.

    Positivliste für den BPDU-Filter Klicken Sie auf die Ziel-MAC-Adresse aus der Liste der BPDU-Ziel-MAC-Adressen, um den Datenverkehr zum zugelassenen Ziel zu ermöglichen. Sie müssen BPDU-Filter aktivieren, um aus dieser Liste auswählen zu können.
    DHCP-Filter

    Schalten Sie die Schaltflächen Serverblock und Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.

    Die DHCP-Serverblockierung blockiert Datenverkehr von einem DHCP-Server an einen DHCP-Client. Pakete, deren UDP-Zielportnummer 68 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCP-Server zu einem DHCP-Relay-Agent nicht blockiert wird und dass für einen DHCP-Server, der einem DHCP-Relay-Agent antwortet, die DHCP-Clientblockierung deaktiviert sein muss.

    Die DHCP-Clientblockierung verhindert, dass eine VM eine DHCP-IP-Adresse erhält, indem DHCP-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 67 lautet, werden blockiert.
    DHCPv6-Filter

    Schalten Sie die Schaltflächen V6-Serverblock und V6-Clientblock zur Aktivierung der DHCP-Filterung um. Beide sind standardmäßig deaktiviert.

    Die DHCPv6-Serverblockierung blockiert Datenverkehr von einem DHCPv6-Server an einen DHCPv6-Client. Pakete, deren UDP-Zielportnummer 546 lautet, werden blockiert. Beachten Sie, dass der Datenverkehr von einem DHCPv6-Server zu einem DHCPv6-Relay-Agent nicht blockiert wird und dass für einen DHCPv6-Server, der einem DHCPv6-Relay-Agent antwortet, die DHCPv6-Clientblockierung deaktiviert sein muss.

    Die DHCPv6-Clientblockierung verhindert, dass eine VM eine DHCPv6-IP-Adresse erhält, indem DHCPv6-Anforderungen blockiert werden. Pakete, deren UDP-Zielportnummer 547 lautet, werden blockiert.
    Nicht-IP-Datenverkehr blockieren

    Schalten Sie die Schaltfläche Nicht-IP-Datenverkehr blockieren um, um nur IPv4-, IPv6-, ARP- und BPDU-Datenverkehr zuzulassen.

    Der übrige Nicht-IP-Datenverkehr wird blockiert. Der zugelassene IPv4-, IPv6-, ARP-, GARP- und BPDU-Datenverkehr basiert auf anderen Richtlinien, die in der Konfiguration der Adressbindung und von SpoofGuard festgelegt sind.

    Standardmäßig ist diese Option deaktiviert, d. h. der Nicht-IP-Datenverkehr wird als regulärer Datenverkehr behandelt.

    RA-Guard Schalten Sie die Schaltfläche RA-Guard um, um Ingress-IPv6-Routerankündigungen herauszufiltern. ICMPv6-Pakete vom Typ 134 werden herausgefiltert. Diese Option ist standardmäßig aktiviert.
    Ratenbegrenzungen

    Legen Sie eine Ratenbegrenzung für Broadcast-und Multicast-Datenverkehr fest. Diese Option ist standardmäßig aktiviert.

    Ratenbegrenzungen können verwendet werden, um den logischen Switch oder VMs vor Ereignissen wie Broadcast-Stürmen zu schützen.

    Um Konnektivitätsprobleme zu vermeiden, muss die Mindestrate größer oder gleich 10 PPS sein.

  6. Klicken Sie auf Hinzufügen.

Ergebnisse

Ein benutzerdefiniertes Switching-Profil für die Switch-Sicherheit wird als Link angezeigt.

Nächste Maßnahme

Hängen Sie dieses benutzerdefinierte Switching-Profil für die Switch-Sicherheit an einen logischen Switch oder logischen Port an, damit die im Switching-Profil geänderten Parameter auf den Netzwerkdatenverkehr angewendet werden. Siehe Zuordnen eines benutzerdefinierten Profils zu einem logischen Switch im Manager-Modus oder Zuordnen eines benutzerdefinierten Profils zu einem logischen Port im Manager-Modus.