Es posible crear un perfil de conmutación de seguridad del conmutador personalizado con direcciones MAC de destino de la lista permitida BPDU y configurar el límite de frecuencia.
Requisitos previos
-
Familiarícese con el concepto de perfil de conmutación de seguridad del conmutador. Consulte Información sobre el perfil de conmutación de seguridad del conmutador.
-
Compruebe que el modo Manager esté seleccionado en la interfaz de usuario de NSX Manager. Consulte NSX Manager. Si no ve los botones de los modos Directiva y Manager, consulte Configurar los ajustes de la interfaz de usuario.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione .
- Haga clic en la pestaña Perfiles de conmutación.
- Haga clic en Agregar y seleccione Seguridad de conmutadores.
- Complete los detalles del perfil de conmutación de seguridad del conmutador.
Opción Descripción Nombre y descripción Asigne un nombre al perfil de seguridad del conmutador personalizado.
Opcionalmente, puede describir la opción de configuración que modificó en el perfil.
Filtro de BPDU Alterne el botón Filtro BPDU para habilitar el filtro BPDU. Deshabilitado de forma predeterminada.
Al habilitar el filtro BPDU, todo el tráfico a la dirección MAC de destino BPDU se bloquea. El filtro BPDU habilitado también deshabilita STP en los puertos de conmutadores lógicos, ya que dichos puertos no deberían formar parte de STP.
Lista de permitidos de filtro de BPDU Haga clic en la dirección MAC de destino de la lista de direcciones MAC de destino BPDU para permitir el tráfico al destino seleccionado. Debe habilitar el Filtro de BPDU para poder seleccionar un elemento de esta lista. Filtro de DHCP Alterne el botón Bloqueo de servidores y Bloqueo de clientes para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.
La opción Bloqueo de servidores bloquea el tráfico de un servidor DHCP a un cliente DHCP. Se bloquean los paquetes cuyo número de puerto UDP de destino es 68. Tenga en cuenta que no se bloqueará el tráfico de un servidor DHCP a un agente de retransmisión DHCP y que el servidor DHCP que responda a un agente de retransmisión DHCP debe tener desactivado el bloqueo de clientes DHCP.
La opción Bloqueo de clientes de DHCP evita que una máquina virtual adquiera una dirección IP de DHCP bloqueando las solicitudes de DHCP. Se bloquean los paquetes cuyo número de puerto UDP de destino es 67.
Filtro DHCPv6 Alterne el botón Bloquear servidor V6 y Bloquear cliente V6 para habilitar el filtro DHCP. Ambas opciones están deshabilitadas de forma predeterminada.
La opción Bloquear servidor DHCPv6 bloquea el tráfico que procede de un servidor DHCPv6 y se dirige a un cliente DHCPv6. Se bloquean los paquetes cuyo número de puerto UDP de destino es 546. Tenga en cuenta que no se bloqueará el tráfico de un servidor DHCPv6 a un agente de retransmisión DHCPv6 y que el servidor DHCPv6 que responda a un agente de retransmisión DHCPv6 debe tener desactivado el bloqueo de clientes DHCPv6.
La opción Bloqueo de clientes DHCPv6 evita que una máquina virtual adquiera una dirección IP de DHCPv6 bloqueando las solicitudes de DHCPv6. Se bloquean los paquetes cuyo número de puerto UDP de destino es 547.
Bloquear tráfico que no usa IP Alterne el botón Bloquear tráfico que no usa IP para permitir solo el tráfico de IPv4, IPv6, ARP y BPDU.
Se bloqueará el resto de tráfico que no use IP. El tráfico IPv4, IPv6, ARP, GARP y BPDU permitido se basa en otro conjunto de directivas de la configuración de los enlaces de dirección y Spoofguard.
De forma predeterminada, esta opción se deshabilita para permitir que el tráfico que no usa IP se gestione como tráfico estándar.
Protección de RA Alterne el botón Protección de RA para filtrar los anuncios de entrada del enrutador IPv6. Se filtran los 134 paquetes del tipo ICMPv6. Esta opción está habilitada de forma predeterminada. Límites de velocidad Establezca un límite de transmisión para el tráfico de difusión y multidifusión. Esta opción está habilitada de forma predeterminada.
Los límites de transmisión se pueden utilizar para proteger el conmutador lógico o las máquinas virtuales de eventos como las tormentas de difusión.
Para evitar problemas de conectividad, el valor mínimo de límite de frecuencia debe ser >=10 pps.
- Haga clic en Agregar.
Resultados
Un perfil de seguridad del conmutador personalizado aparece como un vínculo.
Qué hacer a continuación
Asocie el perfil personalizado de conmutación de seguridad del conmutador a un conmutador lógico o a un puerto lógico para que los parámetros modificados en el perfil de conmutación se apliquen al tráfico de red. Consulte Asociar un perfil personalizado a un conmutador lógico en el modo Manager o Asociar un perfil personalizado a un puerto lógico en el modo Manager.