La dirección IP de una máquina virtual se puede detectar con VMware Tools, que está instalad en la máquina virtual, o bien mediante la intromisión DHCP y ARP. Estos métodos de detección de IP pueden utilizarse juntos en la misma instalación de NSX.
Puede especificar los tipos de detección de IP a nivel global o de clúster del host. Normalmente, los usuarios con funciones de administrador de seguridad e ingeniero de seguridad prefieren especificar el tipo de detección de IP de forma global. Utilizan las direcciones IP detectadas de la máquina para configurar las directivas SpoofGuard y de firewall distribuido.
Los usuarios con una función de administrador empresarial suelen tener una visión mucho más amplia de toda la red virtual y probablemente prefieran controlar el tipo de detección de IP mediante la edición de los ajustes del clúster del host. Los ajustes de detección de IP del clúster del host anulan la configuración especificada a nivel global.
Procedimiento
- Desplácese hasta la página Cambiar tipo de detección de IP (Change IP Detection Type).
Nivel de detección de IP |
Pasos |
Detección global de IP (Global IP Detection) |
- Desplácese hasta .
- Junto a Tipo de detección de IP (IP Detection Type), haga clic en el icono .
|
Detección de IP en el clúster del host (Host Cluster IP Detection) |
- Desplácese hasta .
- Haga clic en el clúster para el que quiera cambiar el tipo de detección de IP y, a continuación, seleccione .
|
- Seleccione los tipos de detección de IP deseados y haga clic en Guardar (Save) o Aceptar (OK).
Tipo de detección de IP |
Descripción (Description) |
Intromisión de DHCP (DHCP Snooping) |
NSX detecta las direcciones IP de las máquinas virtuales de la red. Para ello, lee las entradas de intromisión DHCP. |
Intromisión de ARP (ARP Snooping) |
NSX detecta las direcciones IP de las máquinas virtuales mediante el mecanismo de intromisión ARP.
Recomendación:: Configure SpoofGuard si utiliza la intromisión ARP para detectar direcciones IP. SpoofGuard le ayuda a defender la red de ataques que quieren dañar el ARP.
|
- Si selecciona la intromisión ARP, introduzca el número máximo de direcciones IP de ARP que se debe detectar por vNIC y máquina virtual. El valor predeterminado es 1.
La intromisión ARP puede detectar un máximo de 128 direcciones IP por vNIC y máquina virtual. El rango de valores válido es de 1 a 128. Por ejemplo, si especifica el valor 5, se detectarán como máximo las cinco primeras direcciones IP por vNIC y máquina virtual.
Las direcciones IP detectadas mediante la intromisión de ARP no se eliminan automáticamente. En otras palabras, no se agota el tiempo de espera de las direcciones IP de vNIC que se detectan mediante la intromisión de ARP.
Qué hacer a continuación
- Si habilita la intromisión ARP, le recomendamos que configure SpoofGuard para defender su red de ataques que quieran dañar el ARP.
- Configure la regla de firewall predeterminada.