L'adresse IP d'une machine virtuelle peut être détectée par VMware Tools qui est installé sur la VM, ou par des écoutes ARP ou DHCP. Ces méthodes de détection d'adresse IP peuvent être utilisées simultanément dans une même installation NSX.

Vous pouvez spécifier les types de détection d'adresses IP à un niveau global ou au niveau du cluster d'hôtes. En règle générale, les utilisateurs disposant de rôles d'administrateur de sécurité et d'ingénieur de sécurité préfèrent spécifier le type de détection d'adresses IP à un niveau global. Ils utilisent les adresses IP de VM détectées pour configurer les stratégies SpoofGuard et les stratégies de pare-feu distribué.

Les utilisateurs disposant d'un rôle d'administrateur d'entreprise bénéficient généralement d'une vue plus étendue du réseau virtuel complet et préfèrent contrôler le type de détection d'adresse IP en modifiant les paramètres au niveau du cluster d'hôtes. Les paramètres de détection d'adresses IP au niveau du cluster d'hôtes remplacent les paramètres spécifiés au niveau global.

Procédure

  1. Accédez à la page Modifier le type de détection d'adresse IP.
    Niveau de détection d'adresses IP Étapes
    Détection d'adresses IP globale
    1. Accédez à Mise en réseau et sécurité > Sécurité > SpoofGuard.
    2. En regard de Type de détection IP, cliquez sur l'icône Icône d'engrenage.
    Détection d'adresses IP du cluster d'hôtes
    1. Accédez à Mise en réseau et sécurité > Installation et mise à niveau > Préparation de l'hôte.
    2. Cliquez sur le cluster pour lequel vous souhaitez modifier le type de détection d'adresses IP, puis cliquez sur Actions > Modifier le type de détection d'adresses IP.
  2. Sélectionnez les types de détection d'adresses IP souhaités, puis cliquez sur Enregistrer (Save) ou sur OK.
    Type de détection d'adresses IP Description
    Écoute DHCP NSX détecte les adresses IP des VM du réseau en lisant les entrées d'écoute DHCP.
    Écoute ARP NSX détecte les adresses IP des VM à l'aide du mécanisme d'écoute ARP.
    Recommandation : Configurez SpoofGuard lorsque vous utilisez l'écoute ARP pour détecter des adresses IP. SpoofGuard vous permet de défendre votre réseau contre les attaques d'empoisonnement ARP.
  3. Si vous avez sélectionné l'écoute ARP, entrez le nombre maximal d'adresses IP ARP qui doivent être détectées par carte réseau virtuelle, pour chaque VM. La valeur par défaut est 1.
    L'écoute ARP peut détecter jusqu'à 128 adresses IP par carte réseau virtuelle, pour chaque VM. La plage de valeurs valide est comprise entre 1 et 128. Par exemple, si vous spécifiez la valeur 5, cela signifie qu'un maximum de cinq adresses IP sont détectées par carte réseau virtuelle pour chaque VM.

    Les adresses IP détectées à l'aide de l'écoute ARP ne sont pas supprimées automatiquement. En d'autres termes, il n'y a pas de délai d'expiration pour les adresses IP de vNIC qui sont détectées à l'aide de l'écoute ARP.

Que faire ensuite

  • Si vous avez activé l'écoute ARP, pensez à configurer SpoofGuard afin de défendre votre réseau contre les attaques d'empoisonnement ARP.
  • Configurez la règle de pare-feu par défaut.