Es posible crear un perfil de segmento de seguridad del segmento personalizado con direcciones MAC de destino de la lista permitida BPDU y configurar el límite de frecuencia.

Requisitos previos

Familiarícese con el concepto de perfil de segmento de seguridad del segmento. Consulte Información sobre el perfil de conmutación de seguridad del conmutador.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Seleccione Redes > Segmentos > Perfiles de segmentos.
  3. Haga clic en Agregar perfil de segmento y seleccione Seguridad de segmentos.
  4. Complete los detalles del perfil de seguridad del segmento.
    Opción Descripción
    Nombre Escriba un nombre para el perfil.
    Filtro de BPDU

    Alterne el botón Filtro BPDU para habilitar el filtro BPDU. Deshabilitado de forma predeterminada.

    Al habilitar el filtro BPDU, todo el tráfico a la dirección MAC de destino BPDU se bloquea. El filtro BPDU habilitado también deshabilita STP en los puertos de conmutadores lógicos, ya que dichos puertos no deberían formar parte de STP.

    Lista de permitidos de filtro de BPDU Haga clic en la dirección MAC de destino de la lista de direcciones MAC de destino BPDU para permitir el tráfico al destino seleccionado. Debe habilitar el Filtro de BPDU para poder seleccionar un elemento de esta lista.
    Filtro de DHCP

    Alterne el botón Bloqueo de servidores y Bloqueo de clientes para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.

    La opción Bloqueo de servidores bloquea el tráfico de un servidor DHCP a un cliente DHCP. Tenga en cuenta que esto no bloquea el tráfico de un servidor DHCP a un agente de retransmisión DHCP.

    La opción Bloqueo de clientes de DHCP evita que una máquina virtual adquiera una dirección IP de DHCP bloqueando las solicitudes de DHCP.

    Filtro DHCPv6

    Active el botón Bloque de servidores: IPv6 y Bloque de clientes: IPv6 para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.

    La opción Bloquear servidor DHCPv6 bloquea el tráfico que procede de un servidor DHCPv6 y se dirige a un cliente DHCPv6. Tenga en cuenta que esto no bloquea el tráfico de un servidor DHCP a un agente de retransmisión DHCP. Se filtran los paquetes cuyo número de puerto UDP de origen es 547.

    La opción Bloquear cliente DHCPv6 evita que una máquina virtual adquiera una dirección IP de DHCP al bloquear las solicitudes de DHCP. Se filtran los paquetes cuyo número de puerto UDP de origen es 546.

    Bloquear tráfico que no usa IP

    Alterne el botón Bloquear tráfico que no usa IP para permitir solo el tráfico de IPv4, IPv6, ARP y BPDU.

    Se bloqueará el resto de tráfico que no use IP. El tráfico IPv4, IPv6, ARP, GARP y BPDU permitido se basa en otro conjunto de directivas de la configuración de los enlaces de dirección y Spoofguard.

    De forma predeterminada, esta opción se deshabilita para permitir que el tráfico que no usa IP se gestione como tráfico estándar.

    Protección de RA Alterne el botón Protección de RA para filtrar los anuncios de entrada del enrutador IPv6. Se filtran los 134 paquetes del tipo ICMPv6. Esta opción está habilitada de forma predeterminada.
    Límites de velocidad

    Establezca un límite de transmisión para el tráfico de difusión y multidifusión. Esta opción está habilitada de forma predeterminada.

    Los límites de transmisión se pueden utilizar para proteger el conmutador lógico o las máquinas virtuales de eventos como las tormentas de difusión.

    Para evitar problemas de conectividad, el valor mínimo de límite de frecuencia debe ser >=10 pps.

  5. Haga clic en Guardar.