Use las reglas para permitir o detener el tráfico a fin de proteger los flujos de datos que pasan por una máquina virtual, un adaptador VMkernel o un adaptador físico.

Requisitos previos

Para anular una directiva en el nivel del puerto distribuido, habilite la opción de anulación en el nivel de puerto para esta directiva. Consulte Configurar las directivas de red de anulación en los puertos.

Procedimiento

  1. Desplácese hasta un conmutador distribuido y después hasta un puerto distribuido o un puerto de vínculo superior.
    • Para desplazarse hasta los puertos distribuidos del conmutador, haga clic en Redes > Grupos de puertos distribuidos, haga clic en un grupo de puertos distribuidos de la lista y, a continuación, en la pestaña Puertos.
    • Para desplazarse hasta los puertos de vínculo superior de un grupo de puertos de vínculo superior, haga clic en Redes > Grupos de puertos de vínculo superior, haga clic en un grupo de puertos de vínculo superior de la lista y, a continuación, en la pestaña Puertos.
  2. Seleccione un puerto de la lista.
  3. Seleccione la pestaña Filtrado y marcado de tráfico.
  4. Si el filtrado y el marcado de tráfico no están habilitados en el nivel de puerto, haga clic en el botón Habilitar y reordenar, anule la configuración predeterminada y haga clic en Habilitar todas las reglas de tráfico.
    Si las reglas de tráfico están habilitadas en el nivel de grupo, después de anular la configuración predeterminada del puerto, estas reglas se habilitan automáticamente.
  5. Haga clic en Agregar para crear una nueva regla, o bien seleccione una regla y haga clic en Editar para modificarla.
    Se puede cambiar una regla heredada del grupo de puertos distribuidos o del grupo de puertos de vínculo superior. De esta manera, la regla se vuelve exclusiva dentro del alcance del puerto.
  6. En el cuadro de diálogo de la regla de tráfico de red, seleccione la acción Permitir para dejar que el tráfico pase por el puerto distribuido o el puerto de vínculo superior, o la acción Descartar para restringirlo.
  7. Especifique el tipo de tráfico al que se debe aplicar la regla.
    Para determinar si un flujo de datos se encuentra en el ámbito de aplicación de una regla para el marcado o el filtrado, el conmutador distribuido de vSphere examina la dirección del tráfico y las propiedades como origen y destino, VLAN, protocolo de siguiente nivel, infraestructura de tipo de tráfico, entre otras.
    1. En el menú desplegable Dirección del tráfico, seleccione si el tráfico debe ser de ingreso, de egreso o de ambos, para que la regla lo reconozca como coincidente.

      La dirección también influye en la manera en que se va a identificar el origen y el destino del tráfico.

    2. Mediante la utilización de calificadores para el tipo de datos del sistema, los atributos del paquete de la Capa 2 y de la Capa 3, establezca las propiedades que los paquetes deben tener para coincidir con la regla.

      Un calificador representa un conjunto de criterios de coincidencia relacionados con una capa de redes. Se puede hacer coincidir el tráfico con el tipo de datos del sistema, las propiedades del tráfico de la Capa 2 y las propiedades del tráfico de la Capa 3. Se puede utilizar el calificador para una capa de redes específica, o bien se pueden combinar los calificadores para que coincidan de manera precisa con los paquetes.

      • Utilice el calificador de tráfico del sistema para que haga coincidir los paquetes con el tipo de datos de infraestructura virtual que está fluyendo a través de los puertos del grupo. Por ejemplo, se puede seleccionar NFS para las transferencias de datos al almacenamiento de red.
      • Utilice el calificador de tráfico MAC para hacer coincidir los paquetes por la dirección MAC, el identificador de VLAN y el protocolo de siguiente nivel.

        La localización de tráfico con un identificador de VLAN en un grupo de puertos distribuidos funciona con el etiquetado de invitado virtual (VGT). Para que el tráfico coincida con el identificador de VLAN si el etiquetado de conmutador virtual (VST) está activo, utilice una regla en un grupo de puertos de vínculo superior o en un puerto de vínculo superior.

      • Utilice el calificador de tráfico IP para que los paquetes coincidan por la versión IP, la dirección IP, y el puerto y el protocolo de siguiente nivel.
  8. En el cuadro de diálogo de la regla, haga clic en Aceptar para guardar la regla.