SpoofGuard protege contra la suplantación de IP al mantener una tabla de referencia de nombre de máquina virtual y dirección IP. SpoofGuard mantiene esta tabla de referencia mediante las direcciones IP que NSX Manager recupera de VMware Tools cuando se inicia una máquina virtual por primera vez.

Tras la sincronización con el servidor vCenter Server, NSX Manager recopila las direcciones IP de todas las máquinas virtuales invitadas de vCenter desde la instancia de VMware Tools en cada máquina virtual. Si hay una máquina virtual comprometida, la dirección IP puede suplantarse y las transmisiones maliciosas pueden omitir las directivas de firewall.

SpoofGuard está inactivo de forma predeterminada y debe habilitarlo explícitamente en cada grupo de puertos de VDS o conmutador lógico. Cuando se detecta un cambio en la dirección IP de una máquina virtual, el firewall distribuido (DFW) bloquea el tráfico desde o hacia esta máquina virtual hasta que se aprueba esta nueva dirección IP.

Puede crear una directiva de SpoofGuard para redes específicas que permita autorizar las direcciones IP informadas por VMware Tools y alterarlas, si fuera necesario, para impedir la suplantación. SpoofGuard confía de forma intrínseca en las direcciones MAC de las máquinas virtuales recopiladas a partir de archivos VMX y vSphere SDK. Dado que funcionan de forma separada de las reglas de firewall, puede utilizar SpoofGuard para bloquear el tráfico identificado como suplantado.

Importante: SpoofGuard solo funciona cuando el firewall distribuido (DFW) está habilitado.

SpoofGuard admite direcciones IPv4 e IPv6. La directiva de SpoofGuard admite varias direcciones IP asignadas a una vNIC cuando se use la intromisión DHCP y VMwareTools. La intromisión de ARP admite hasta 128 direcciones detectadas por máquina virtual y por vNIC. La directiva de SpoofGuard supervisa y administra las direcciones IP que informan las máquinas virtuales en uno de los siguientes modos.

Confiar automáticamente en las asignaciones IP en el primer uso (Automatically Trust IP Assignments on Their First Use)
Este modo permite que todo el tráfico proveniente de las máquinas virtuales circule mientras se crea una tabla de asignaciones de direcciones vNIC a IP. Puede revisar la tabla según lo necesite y hacer los cambios necesarios en la dirección IP. Este modo aprueba automáticamente todas las direcciones IPv4 e IPv6 que aparecieron por primera vez en una vNIC.
Inspeccionar y aprobar manualmente todas las asignaciones IP antes de utilizarlas (Manually Inspect and Approve All IP Assignments Before Use)
Este modo bloquea todo el tráfico hasta que se aprueba cada asignación de direcciones vNIC a IP. En este modo, se pueden aprobar varias direcciones IPv4.
Nota: SpoofGuard autoriza las solicitudes DHCP de forma intrínseca independientemente del modo habilitado. No obstante, en el modo de inspección manual, el tráfico no circula hasta que se haya aprobado la dirección IP asignada por DHCP.

SpoofGuard incluye una directiva predeterminada generada por el sistema que se aplica a los grupos de puertos y redes lógicas que no cubren otras directivas de SpoofGuard. La nueva red agregada se incorpora automáticamente a la directiva predeterminada hasta que agregue la red a una directiva existente o cree para ella una nueva directiva.

SpoofGuard es una de las formas en que la directiva de Distributed Firewall de NSX puede determinar la dirección IP de una máquina virtual. Para obtener información, consulte Detección de IP para máquinas virtuales.