Richten Sie eine Sicherheitsrichtlinie für eine verteilte Portgruppe ein, um den Promiscuous-Modus und MAC-Adressänderungen vom Gastbetriebssystem der virtuellen Maschinen, die der Portgruppe zugeordnet sind, zuzulassen oder abzulehnen. Sie können die von den verteilten Portgruppen oder von einzelnen Ports geerbte Sicherheitsrichtlinie außer Kraft setzen.

Voraussetzungen

Um eine Richtlinie auf der Ebene der verteilten Ports außer Kraft zu setzen, aktivieren Sie die Außerkraftsetzungen auf Portebene für diese Richtlinie. Siehe Konfigurieren von überschreibenden Netzwerkrichtlinien auf Portebene.

Prozedur

  1. Navigieren Sie im vSphere Web Client zum Distributed Switch.
  2. Navigieren Sie zur Sicherheitsrichtlinie für die verteilte Portgruppe oder den Port.

    Option

    Aktion

    Verteilte Portgruppe

    1. Wählen Sie im Menü Aktionen die Option Verteilte Portgruppe > Verteilte Portgruppen verwalten aus.

    2. Wählen Sie Sicherheit aus.

    3. Wählen Sie die Portgruppe aus und klicken Sie auf Weiter.

    Verteilter Port

    1. Klicken Sie auf der Registerkarte Netzwerke auf Verteilte Portgruppen und doppelklicken Sie auf eine verteilte Portgruppe.

    2. Wählen Sie auf der Registerkarte Ports einen Port aus und klicken Sie auf das Symbol Einstellungen des verteilten Ports bearbeiten.

    3. Wählen Sie Sicherheit aus.

    4. Wählen Sie neben den außer Kraft zu setzenden Eigenschaften Außer Kraft setzen aus.

  3. Lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an die verteilte Portgruppe oder den Port angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.

    Option

    Beschreibung

    Promiscuous-Modus

    • Ablehnen. Der VM-Netzwerkadapter empfängt nur Frames, die an die virtuelle Maschine adressiert sind.

    • Akzeptieren. Der virtuelle Switch leitet alle Frames an die virtuellen Maschinen in Übereinstimmung mit der aktiven VLAN-Richtlinie für den Port weiter, mit dem der VM-Netzwerkadapter verbunden ist.

    Anmerkung:

    Der Promiscuous-Modus ist ein unsicherer Betriebsmodus. Firewalls, Portscanner und Erkennungssysteme für Eindringversuche müssen im Promiscuous-Modus ausgeführt werden.

    MAC-Adressänderungen

    • Ablehnen. Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht (festgelegt in der .vmx-Konfigurationsdatei), unterbindet der Switch alle eingehenden Frames zum Adapter.

      Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine wieder zur MAC-Adresse des VM-Netzwerkadapters ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren. Wenn das Gastbetriebssystem die effektive MAC-Adresse einer virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, lässt der Switch Frames zu der neuen Adresse passieren.

    Gefälschte Übertragungen

    • Ablehnen. Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.

    • Akzeptieren. Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.

  4. Prüfen Sie die Einstellungen und übernehmen Sie die Konfiguration.