Los administradores tienen varias opciones para proteger a vSphere Distributed Switch en su entorno de vSphere.

Procedimiento

  1. Para los grupos de puertos distribuidos con enlace estático, compruebe que la característica Expansión automática esté deshabilitada.

    Expansión automática está habilitada de forma predeterminada en vSphere 5.1 y versiones posteriores.

    Para habilitar Expansión automática, configure la propiedad autoExpand en el grupo de puertos distribuidos con vSphere Web Services SDK o con una interfaz de línea de comandos. Consulte la documentación de vSphere Web Services SDK.

  2. Asegúrese de que todos los identificadores de VLAN privadas de vSphere Distributed Switch estén documentados detalladamente.
  3. Si utiliza el etiquetado de VLAN en un dvPortgroup, los identificador de VLAN deben coincidir con los identificadores de los conmutadores ascendentes externos con reconocimiento de VLAN. Si no se hace un seguimiento completo de los identificadores de VLAN, la reutilización de identificadores por error puede producir tráfico entre las máquinas virtuales y físicas inadecuadas. De forma similar, la presencia de identificadores de VLAN incorrectos o faltantes puede hacer que el tráfico no pase entre las máquinas físicas y virtuales.
  4. Asegúrese de que no haya puertos sin utilizar en un grupo de puertos virtuales asociado con vSphere Distributed Switch.
  5. Etiquete todos los conmutadores distribuidos de vSphere.

    Los conmutadores vSphere Distributed Switch asociados con un host ESXi requieren un campo para sus nombres. Esta etiqueta sirve como descriptor funcional del conmutador, al igual que el nombre de host asociado con un conmutador físico. La etiqueta de vSphere Distributed Switch indica la función o la subred IP del conmutador Por ejemplo, puede etiquetar el conmutador como interno para indicar que sirve solo para las redes internas del conmutador virtual privado de una máquina virtual sin adaptadores de red físicos enlazados.

  6. Deshabilite la comprobación de estado de la red en los conmutadores vSphere Distributed Switch si no la utiliza de forma activa.

    La comprobación de estado de la red está deshabilitada de forma predeterminada. Una vez habilitados, los paquetes de comprobación de estado contienen información sobre el host, el conmutador y el puerto que un atacante podría utilizar. Utilice la comprobación de estado de la red solo para tareas de solución de problemas y desactívela al finalizar.

  7. Puede proteger el tráfico virtual contra ataques de suplantación e intercepción de la Capa 2 si configura una directiva de seguridad en los puertos o grupos de puertos.

    La directiva de seguridad en los puertos y grupos de puertos distribuidos incluye las siguientes opciones:

    Para ver y cambiar la configuración actual, seleccione Administrar grupos de puertos distribuidos en el menú contextual y, a continuación, seleccione Seguridad en el asistente. Consulte la documentación de Redes de vSphere.