Sie können die Sicherheitsrichtlinie zur Ablehnung von Änderungen der MAC-Adresse und des Promiscuous-Modus im Gastbetriebssystem einer virtuellen Maschine für einen vSphere Standard-Switch konfigurieren. Sie können die vom Standard-Switch geerbte Sicherheitsrichtlinie für einzelne Portgruppen außer Kraft setzen.

Prozedur

  1. Navigieren Sie im vSphere Client zum Host.
  2. Erweitern Sie auf der Registerkarte Konfigurieren die Option Netzwerk und wählen Sie Virtuelle Switches aus.
  3. Navigieren Sie zur Sicherheitsrichtlinie für den Standard-Switch oder die Portgruppe.
    Option Aktion
    vSphere Standard-Switch
    1. Wählen Sie einen Standard-Switch aus der Liste aus.
    2. Klicken Sie auf Einstellungen bearbeiten.
    3. Wählen Sie Sicherheit aus.
    Standard-Portgruppe
    1. Wählen Sie den Standard-Switch aus, bei dem sich die Portgruppe befindet.
    2. Wählen Sie im Topologie-Diagramm eine Standard-Portgruppe aus.
    3. Klicken Sie auf Einstellungen bearbeiten.
    4. Wählen Sie Sicherheit und dann Außer Kraft setzen neben den außer Kraft zu setzenden Optionen aus.
  4. Lehnen Sie die Promiscuous-Modus-Aktivierung oder die MAC-Adressänderungen im Gastbetriebssystem der an den Standard-Switch oder die Portgruppe angeschlossenen virtuellen Maschinen ab bzw. nehmen Sie diese an.
    Option Beschreibung
    Promiscuous-Modus
    • Ablehnen. Der VM-Netzwerkadapter empfängt nur Frames, die an die virtuelle Maschine adressiert sind.
    • Akzeptieren. Der virtuelle Switch leitet alle Frames an die virtuellen Maschinen in Übereinstimmung mit der aktiven VLAN-Richtlinie für den Port weiter, mit dem der VM-Netzwerkadapter verbunden ist.
    Hinweis: Der Promiscuous-Modus ist ein unsicherer Betriebsmodus. Firewalls, Portscanner und Erkennungssysteme für Eindringversuche müssen im Promiscuous-Modus ausgeführt werden.
    MAC-Adressänderungen
    • Ablehnen. Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht (festgelegt in der .vmx-Konfigurationsdatei), unterbindet der Switch alle eingehenden Frames zum Adapter.

      Wenn das Gastbetriebssystem die effektive MAC-Adresse der virtuellen Maschine wieder zur MAC-Adresse des VM-Netzwerkadapters ändert, empfängt die virtuelle Maschine wieder Frames.

    • Akzeptieren. Wenn das Gastbetriebssystem die effektive MAC-Adresse einer virtuellen Maschine auf einen Wert ändert, der von der MAC-Adresse des VM-Netzwerkadapters abweicht, lässt der Switch Frames zu der neuen Adresse passieren.
    Gefälschte Übertragungen
    • Ablehnen. Der Switch verwirft alle ausgehenden Frames von einem Adapter einer virtuellen Maschine mit einer Quell-MAC-Adresse, die von der Adresse in der .vmx-Konfigurationsdatei abweicht.
    • Akzeptieren. Der Switch führt keine Filterung durch und lässt alle ausgehenden Frames zu.
  5. Klicken Sie auf OK.