Sie können die Sicherheitsrichtlinie zur Ablehnung von Änderungen der MAC-Adresse und des Promiscuous-Modus im Gastbetriebssystem einer virtuellen Maschine für einen vSphere Standard-Switch konfigurieren.

Warum und wann dieser Vorgang ausgeführt wird

Sie können die Sicherheitsrichtlinie auch für eine einzelne Standard-Portgruppe konfigurieren.

Prozedur

  1. Navigieren Sie im vSphere Web Client zum Host.
  2. Klicken Sie auf der Registerkarte Verwalten auf Netzwerk und wählen Sie Virtuelle Switches aus.
  3. Wählen Sie einen Standard-Switch aus der Liste aus und klicken Sie auf Einstellungen bearbeiten.
  4. Wählen Sie Sicherheit aus und lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an den Standard-Switch angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.

    Standardmäßig wird die Aktivierung von Promiscuous-Modus und MAC-Adressänderungen sowohl für eingehenden als auch für ausgehenden Datenverkehr nicht akzeptiert.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, führt dies dazu, dass keine Frames für andere virtuelle Maschinen empfangen werden.

    • Akzeptieren: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, ermöglicht der Switch es dem Gastadapter, alle Frames, die am Switch übergeben werden, in Einhaltung der aktiven VLAN-Richtlinie für den Port, an den der Adapter angeschlossen ist, zu empfangen.

      Firewalls, Portscanner, Erkennungssysteme für Eindringversuche usw. müssen im Promiscuous-Modus ausgeführt werden.

    MAC-Adressenänderungen

    • Ablehnen: Wenn Sie die MAC-Adressänderungen auf Ablehnen setzen und das Gastbetriebssystem die MAC-Adresse des Adapters in einen anderen Wert als die Adresse in der Konfigurationsdatei der virtuellen Maschine ändert (.vmx), verwirft der Switch alle eingehenden Frames an den Adapter der virtuellen Maschine.

      Wenn das Gastbetriebssystem die MAC-Adresse zurück ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren: Wenn das Gastbetriebssystem die MAC-Adresse eines Netzwerkadapters ändert, lässt der Switch zu, dass Frames an die neue Adresse des Adapters geleitet werden.

    Gefälschte Übertragungen

    • Ablehnen: Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.

    • Akzeptieren: Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.

  5. Klicken Sie auf OK.