Sie können eine Sicherheitsrichtlinie für eine verteilte Portgruppe festlegen, um die Richtlinie, die für den Distributed Switch festgelegt wurde, außer Kraft zu setzen.

Vorbereitungen

Starten Sie den vSphere Client und melden Sie sich bei einem vCenter Server-System an.

Warum und wann dieser Vorgang ausgeführt wird

Die drei Elemente der Sicherheitsrichtlinie sind der Promiscuous-Modus, Änderungen der MAC-Adresse und gefälschte Übertragungen.

Im Nicht-Promiscuous-Modus überwacht der Gastadapter nur Datenverkehr an seiner eigenen MAC-Adresse. Im Promiscuous-Modus kann dieser alle Datenpakete überwachen. Standardmäßig ist der Promiscuous-Modus für die Gastadapter deaktiviert.

Prozedur

  1. Melden Sie sich am vSphere-Client an und wählen Sie die Bestandslistenansicht Netzwerk.
  2. Klicken Sie mit der rechten Maustaste im Bestandslistenbereich auf die verteilte Portgruppe und wählen Sie Einstellungen bearbeiten aus.
  3. Wählen Sie Richtlinien.

    Standardmäßig ist für den Promiscuous-Modus die Option Ablehnen festgelegt. Für MAC-Adressenänderungen und Gefälschte Übertragungen ist Akzeptieren eingestellt.

  4. Sie können in der Gruppe Sicherheit auswählen, ob die Ausnahmen für die Sicherheitsrichtlinie abgelehnt oder angenommen werden sollen.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen – Die Aktivierung des Promiscuous-Modus für den Gastadapter hat keine Auswirkungen darauf, welche Frames vom Adapter empfangen werden.

    • Akzeptieren – Bei Aktivierung des Promiscuous-Modus für den Gastadapter werden alle Frames ermittelt, die über den vSphere Standard-Switch übertragen werden und die nach der VLAN-Richtlinie für die an den Adapter angeschlossene Portgruppe zugelassen sind.

    MAC-Adressänderungen

    • Ablehnen – Wenn die Option MAC-Adressenänderungen auf Ablehnen festgelegt ist und die MAC-Adresse des Adapters im Gastbetriebssystem in einen anderen Wert geändert wird als in den, der in der .vmx-Konfigurationsdatei angegeben ist, werden alle eingehenden Frames verworfen.

      Wenn das Gastbetriebssystem die MAC-Adresse zurück in die MAC-Adresse in der .vmx-Konfigurationsdatei ändert, werden wieder alle eingehenden Frames durchgeleitet.

    • Akzeptieren – Die Änderung der MAC-Adresse des Gastbetriebssystems hat den gewünschten Effekt: Frames an die neue MAC-Adresse werden empfangen.

    Gefälschte Übertragungen

    • Ablehnen – Alle ausgehenden Frames, bei denen sich die MAC-Quelladresse von der für den Adapter festgelegten MAC-Adresse unterscheidet, werden verworfen.

    • Akzeptieren – Es wird keine Filterung vorgenommen, und alle ausgehenden Frames werden durchgeleitet.

  5. Klicken Sie auf OK.