Es posible crear un perfil de conmutación de seguridad del conmutador personalizado con direcciones MAC de destino de la lista permitida BPDU y configurar el límite de frecuencia.

Requisitos previos

Procedimiento

  1. Con privilegios de usuario admin, inicie sesión en NSX Manager.
  2. Seleccione Redes > Conmutadores lógicos.
  3. Haga clic en la pestaña Perfiles de conmutación.
  4. Haga clic en Agregar y seleccione Seguridad de conmutadores.
  5. Complete los detalles del perfil de conmutación de seguridad del conmutador.
    Opción Descripción
    Nombre y descripción

    Asigne un nombre al perfil de seguridad del conmutador personalizado.

    Opcionalmente, puede describir la opción de configuración que modificó en el perfil.

    Filtro de BPDU

    Alterne el botón Filtro BPDU para habilitar el filtro BPDU. Deshabilitado de forma predeterminada.

    Al habilitar el filtro BPDU, todo el tráfico a la dirección MAC de destino BPDU se bloquea. El filtro BPDU habilitado también deshabilita STP en los puertos de conmutadores lógicos, ya que dichos puertos no deberían formar parte de STP.

    Lista de permitidos de filtro de BPDU Haga clic en la dirección MAC de destino de la lista de direcciones MAC de destino BPDU para permitir el tráfico al destino seleccionado. Debe habilitar el Filtro de BPDU para poder seleccionar un elemento de esta lista.
    Filtro de DHCP

    Alterne el botón Bloqueo de servidores y Bloqueo de clientes para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.

    La opción Bloqueo de servidores bloquea el tráfico de un servidor DHCP a un cliente DHCP. Tenga en cuenta que esto no bloquea el tráfico de un servidor DHCP a un agente de retransmisión DHCP.

    La opción Bloqueo de clientes de DHCP evita que una máquina virtual adquiera una dirección IP de DHCP bloqueando las solicitudes de DHCP.

    Filtro DHCPv6

    Alterne el botón Bloquear servidor V6 y Bloquear cliente V6 para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.

    La opción Bloquear servidor DHCPv6 bloquea el tráfico que procede de un servidor DHCPv6 y se dirige a un cliente DHCPv6. Tenga en cuenta que esto no bloquea el tráfico de un servidor DHCP a un agente de retransmisión DHCP. Se filtran los paquetes cuyo número de puerto UDP de origen es 547.

    La opción Bloquear cliente DHCPv6 evita que una máquina virtual adquiera una dirección IP de DHCP al bloquear las solicitudes de DHCP. Se filtran los paquetes cuyo número de puerto UDP de origen es 546.

    Bloquear tráfico que no usa IP

    Alterne el botón Bloquear tráfico que no usa IP para permitir solo el tráfico de IPv4, IPv6, ARP y BPDU.

    Se bloqueará el resto de tráfico que no use IP. El tráfico IPv4, IPv6, ARP, GARP y BPDU permitido se basa en otro conjunto de directivas de la configuración de los enlaces de dirección y Spoofguard.

    De forma predeterminada, esta opción se deshabilita para permitir que el tráfico que no usa IP se gestione como tráfico estándar.

    Protección de RA Alterne el botón Protección de RA para filtrar los anuncios de entrada del enrutador IPv6. Se filtran los 134 paquetes del tipo ICMPv6. Esta opción está habilitada de forma predeterminada.
    Límites de velocidad

    Establezca un límite de transmisión para el tráfico de difusión y multidifusión. Esta opción está habilitada de forma predeterminada.

    Los límites de transmisión se pueden utilizar para proteger el conmutador lógico o las máquinas virtuales de eventos como las tormentas de difusión.

    Para evitar problemas de conectividad, el valor mínimo de límite de frecuencia debe ser >=10 pps.

  6. Haga clic en Agregar.

Resultados

Un perfil de seguridad del conmutador personalizado aparece como un vínculo.

Qué hacer a continuación

Asocie el perfil personalizado de conmutación de seguridad del conmutador a un conmutador lógico o a un puerto lógico para que los parámetros modificados en el perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico en el modo Manager o Asociar un perfil personalizado a un puerto lógico en el modo Manager.