Sie können eine Sicherheitsrichtlinie für eine verteilte Portgruppe einrichten, um die Aktivierung des Promiscuous-Modus und MAC-Adressänderungen vom Gastbetriebssystem einer virtuellen Maschine, die der Portgruppe zugeordnet ist, zuzulassen oder abzulehnen.

Warum und wann dieser Vorgang ausgeführt wird

Sie können auch eine Sicherheitsrichtlinie für einen einzelnen verteilten Port konfigurieren.

Prozedur

  1. Navigieren Sie zu einem Distributed Switch im vSphere Web Client.
  2. Klicken Sie mit der rechten Maustaste auf den Distributed Switch und wählen Sie Verteilte Portgruppen verwalten.
  3. Aktivieren Sie das Kontrollkästchen Sicherheit, und klicken Sie auf Weiter.
  4. Wählen Sie die verteilte Portgruppe aus, die konfiguriert werden soll, und klicken Sie auf Weiter.
  5. Verwenden Sie die Dropdown-Menüs, um die Sicherheitseinstellungen für den Datenverkehr durch die Ports der Gruppe zu bearbeiten, und klicken Sie auf Weiter.

    Standardmäßig wird die Aktivierung von Promiscuous-Modus und MAC-Adressänderungen sowohl für eingehenden als auch für ausgehenden Datenverkehr nicht akzeptiert.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, führt dies dazu, dass keine Frames für andere virtuelle Maschinen empfangen werden.

    • Akzeptieren: Wenn ein Adapter von einem Gastbetriebssystem in den Promiscuous-Modus versetzt wird, ermöglicht der Switch es dem Gastadapter, alle Frames, die am Switch übergeben werden, in Einhaltung der aktiven VLAN-Richtlinie für den Port, an den der Adapter angeschlossen ist, zu empfangen.

      Firewalls, Portscanner, Erkennungssysteme für Eindringversuche usw. müssen im Promiscuous-Modus ausgeführt werden.

    MAC-Adressenänderungen

    • Ablehnen: Wenn Sie die MAC-Adressänderungen auf Ablehnen setzen und das Gastbetriebssystem die MAC-Adresse des Adapters in einen anderen Wert als die Adresse in der Konfigurationsdatei der virtuellen Maschine ändert (.vmx), verwirft der Switch alle eingehenden Frames an den Adapter der virtuellen Maschine.

      Wenn das Gastbetriebssystem die MAC-Adresse zurück ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren: Wenn das Gastbetriebssystem die MAC-Adresse eines Netzwerkadapters ändert, lässt der Switch zu, dass Frames an die neue Adresse des Adapters geleitet werden.

    Gefälschte Übertragungen

    • Ablehnen: Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.

    • Akzeptieren: Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.

  6. Überprüfen Sie die gewählten Einstellungen, und klicken Sie auf Beenden.