Sie können für einen vSphere Standard-Switch die die Schicht 2-Sicherheitsrichtlinie bearbeiten, wie z. B. MAC-Adressänderungen und gefälschte Übertragungen.

Vorbereitungen

Starten Sie den vSphere Client und melden Sie sich bei einem vCenter Server-System an.

Warum und wann dieser Vorgang ausgeführt wird

Schicht 2 ist die Sicherungsschicht. Die drei Elemente der Sicherheitsrichtlinie für Schicht 2 sind der Promiscuous-Modus, MAC-Adressänderungen und gefälschte Übertragungen. Wenn der Promiscuous-Modus nicht aktiviert wurde, überwacht der Gastadapter nur Datenverkehr auf seiner eigenen MAC-Adresse. Im Promiscuous-Modus kann dieser alle Datenpakete überwachen. Standardmäßig ist der Promiscuous-Modus für die Gastadapter deaktiviert.

Für einzelne Standard-Portgruppen können die Einstellungen auf Switch-Ebene außer Kraft gesetzt werden, indem Sie die Einstellungen für die Portgruppe bearbeiten.

Weitere Informationen zur Sicherheit finden Sie in der Dokumentation zu vSphere-Sicherheit.

Prozedur

  1. Melden Sie sich beim vSphere Client an und wählen Sie im Bestandslistenfenster einen Host aus.
  2. Klicken Sie auf die Registerkarte Konfiguration und anschließend auf Netzwerk.
  3. Klicken Sie für den Standard-Switch, dessen Sicherheitsrichtlinie für Schicht 2 Sie bearbeiten möchten, auf Eigenschaften.
  4. Klicken Sie im Eigenschaftendialogfeld des Standard-Switches auf die Registerkarte Ports.
  5. Wählen Sie das Standard-Switch-Element aus und klicken Sie auf Bearbeiten.
  6. Klicken Sie auf die Registerkarte Sicherheit.
  7. Im Bereich „Richtlinienausnahmen“ können Sie auswählen, ob die Ausnahmen für die Schicht 2-Sicherheitsrichtlinie abgelehnt oder angenommen werden sollen.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen – Die Aktivierung des Promiscuous-Modus für den Gastadapter hat keine Auswirkungen darauf, welche Frames vom Adapter empfangen werden.

    • Akzeptieren – Bei Aktivierung des Promiscuous-Modus für den Gastadapter werden alle Frames ermittelt, die über den vSphere Standard-Switch übertragen werden und die nach der VLAN-Richtlinie für die an den Adapter angeschlossene Portgruppe zugelassen sind.

    MAC-Adressenänderungen

    • Ablehnen – Wenn die Option MAC-Adressenänderungen auf Ablehnen festgelegt ist und die MAC-Adresse des Adapters im Gastbetriebssystem in einen anderen Wert geändert wird als in den, der in der .vmx-Konfigurationsdatei angegeben ist, werden alle eingehenden Frames verworfen.

      Wenn das Gastbetriebssystem die MAC-Adresse zurück in die MAC-Adresse in der .vmx-Konfigurationsdatei ändert, werden wieder alle eingehenden Frames durchgeleitet.

    • Akzeptieren – Die Änderung der MAC-Adresse des Gastbetriebssystems hat den gewünschten Effekt: Frames an die neue MAC-Adresse werden empfangen.

    Gefälschte Übertragungen

    • Ablehnen – Alle ausgehenden Frames, bei denen sich die MAC-Quelladresse von der für den Adapter festgelegten MAC-Adresse unterscheidet, werden verworfen.

    • Akzeptieren – Es wird keine Filterung vorgenommen, und alle ausgehenden Frames werden durchgeleitet.

  8. Klicken Sie auf OK.