Sie können die Sicherheitsrichtlinie zur Ablehnung von Änderungen der MAC-Adresse und des Promiscuous-Modus im Gastbetriebssystem einer virtuellen Maschine für einen vSphere Standard-Switch konfigurieren. Sie können die vom Standard-Switch geerbte Sicherheitsrichtlinie für einzelne Portgruppen außer Kraft setzen.

Prozedur

  1. Navigieren Sie im vSphere Web Client zum Host.
  2. Klicken Sie auf der Registerkarte Verwalten auf Netzwerk und wählen Sie Virtuelle Switches aus.
  3. Navigieren Sie zur Sicherheitsrichtlinie für den Standard-Switch oder die Portgruppe.

    Option

    Aktion

    vSphere Standard-Switch

    1. Wählen Sie einen Standard-Switch aus der Liste aus.

    2. Klicken Sie auf Einstellungen bearbeiten.

    3. Wählen Sie Sicherheit aus.

    Standard-Portgruppe

    1. Wählen Sie den Standard-Switch aus, bei dem sich die Portgruppe befindet.

    2. Wählen Sie im Topologie-Diagramm eine Standard-Portgruppe aus.

    3. Klicken Sie auf Einstellungen bearbeiten.

    4. Wählen Sie Sicherheit und dann Außer Kraft setzen neben den außer Kraft zu setzenden Optionen aus.

  4. Lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an den Standard-Switch oder die Portgruppe angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen. Der VM-Netzwerkadapter empfängt nur Frames, die an die virtuelle Maschine adressiert sind.

    • Akzeptieren. Der virtuelle Switch leitet alle Frames an die virtuellen Maschinen in Übereinstimmung mit der aktiven VLAN-Richtlinie für den Port weiter, mit dem der VM-Netzwerkadapter verbunden ist.

    Anmerkung:

    Der Promiscuous-Modus ist ein unsicherer Betriebsmodus. Firewalls, Portscanner und Erkennungssysteme für Eindringversuche müssen im Promiscuous-Modus ausgeführt werden.

    MAC-Adressänderungen

    • Ablehnen. Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht (festgelegt in der .vmx-Konfigurationsdatei), unterbindet der Switch alle eingehenden Frames zum Adapter.

      Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine wieder zur MAC-Adresse des VM-Netzwerkadapters ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren. Wenn das Gastbetriebssystem die effektive MAC-Adresse einer virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, lässt der Switch Frames zu der neuen Adresse passieren.

    Gefälschte Übertragungen

    • Ablehnen. Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.

    • Akzeptieren. Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.

  5. Klicken Sie auf OK.