Wenn Sie die Sicherheitsrichtlinie für eine Portgruppe verwenden, können Sie den Promiscuous-Modus und MAC-Adressänderungen im Gastbetriebssystem einer mit der Gruppe verbundenen virtuellen Maschine annehmen oder ablehnen.

Prozedur

  1. Navigieren Sie im vSphere Web Client zum Host.
  2. Klicken Sie auf der Registerkarte Verwalten auf Netzwerk und wählen Sie Virtuelle Switches aus.
  3. Wählen Sie einen Standard-Switch aus der Liste aus.

    Das Topologie-Diagramm für den Standard-Switch wird angezeigt.

  4. Klicken Sie im Topologie-Diagramm für den Standard-Switch auf den Namen der zu konfigurierenden Standard-Portgruppe.
  5. Klicken Sie auf Einstellungen bearbeiten.
  6. Aktivieren Sie im Abschnitt Sicherheit die Kontrollkästchen neben den Sicherheitsrichtlinien, die außer Kraft gesetzt werden sollen, und konfigurieren Sie mithilfe der Dropdown-Menüs über die Ports der Gruppe die Sicherheit für den Datenverkehr der virtuellen Maschine.

    Standardmäßig wird die Aktivierung von Promiscuous-Modus und MAC-Adressänderungen sowohl für eingehenden als auch für ausgehenden Datenverkehr nicht akzeptiert.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, führt dies dazu, dass keine Frames für andere virtuelle Maschinen empfangen werden.

    • Akzeptieren: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, ermöglicht der Switch es dem Gastadapter, alle Frames, die am Switch übergeben werden, in Einhaltung der aktiven VLAN-Richtlinie für den Port, an den der Adapter angeschlossen ist, zu empfangen.

      Firewalls, Portscanner, Erkennungssysteme für Eindringversuche usw. müssen im Promiscuous-Modus ausgeführt werden.

    MAC-Adressenänderungen

    • Ablehnen: Wenn Sie die MAC-Adressänderungen auf Ablehnen setzen und das Gastbetriebssystem die MAC-Adresse des Adapters in einen anderen Wert als die Adresse in der Konfigurationsdatei der virtuellen Maschine ändert (.vmx), verwirft der Switch alle eingehenden Frames an den Adapter der virtuellen Maschine.

      Wenn das Gastbetriebssystem die MAC-Adresse zurück ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren: Wenn das Gastbetriebssystem die MAC-Adresse eines Netzwerkadapters ändert, lässt der Switch zu, dass Frames an die neue Adresse des Adapters geleitet werden.

    Gefälschte Übertragungen

    • Ablehnen: Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.

    • Akzeptieren: Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.

  7. Klicken Sie auf OK.