Vous pouvez créer un profil de commutation de sécurité de commutateur personnalisé avec des adresses MAC de destination à partir de la liste de BPDU autorisés et configurer une limitation du taux.

Conditions préalables

Familiarisez-vous avec le concept de profil de commutation de sécurité de commutateur. Reportez-vous à la section Comprendre le profil de commutation de sécurité de commutateur.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<adresse-ip-nsx-manager>.
  2. Sélectionnez Mise en réseau > Commutation dans le panneau de navigation.
  3. Cliquez sur l'onglet Profils de commutation.
  4. Cliquez sur Ajouter et sélectionnez Sécurité des commutateurs.
  5. Renseignez les détails du profil de sécurité de commutateur.
    Option Description
    Nom et description

    Attribuez un nom au profil de sécurité de commutateur personnalisé.

    En option, vous pouvez décrire le paramètre que vous avez modifié dans le profil.

    Filtre BPDU

    Basculez le bouton Filtre BPDU pour activer le filtrage BPDU.

    Lorsque le filtre BPDU est activé, tout le trafic vers l'adresse MAC de destination du BPDU est bloqué. Le filtre BPDU activé désactive également STP sur les ports de commutateur logique, car il n'est pas prévu que ces ports agissent dans STP.

    Liste d'autorisation de filtre BPDU Cliquez sur l'adresse MAC de destination dans la liste d'adresses MAC de destination de BPDU pour autoriser le trafic vers la destination autorisée.
    Filtre DHCP

    Basculez les boutons Bloc de serveur et Bloc de client pour activer le filtrage DHCP.

    Bloc de serveur DHCP bloque le trafic entre un serveur DHCP et un client DHCP. Notez qu'il ne bloque pas le trafic entre un serveur DHCP et un agent du relais DHCP.

    Bloc de client DHCP empêche une VM d'acquérir une adresse IP DHCP en bloquant les demandes DHCP.

    Bloquer le trafic non-IP

    Basculez le bouton Bloquer le trafic non-IP pour autoriser uniquement le trafic IPv4, IPv6, ARP, GARP et BPDU.

    Le reste du trafic non-IP est bloqué. Le trafic IPv4, IPv6, ARP, GARP et BPDU autorisé est basé sur d'autres stratégies définies dans la configuration de lien d'adresse et SpoofGuard.

    Par défaut, cette option est désactivée pour autoriser la gestion du trafic non-IP comme trafic normal.

    Limites de débit

    Définissez un débit maximal pour le trafic de diffusion et de multidiffusion d'entrée ou de sortie.

    Des débits maximaux sont configurés pour protéger le commutateur logique ou la VM contre, par exemple, les tempêtes de trafic de diffusion.

    Pour éviter tout problème de connectivité, la valeur minimale du débit maximal doit être >= 10 pps.

  6. Cliquez sur Ajouter.

Résultats

Un profil de sécurité de commutateur personnalisé s'affiche sous forme de lien.

Que faire ensuite

Attachez ce profil de commutation personnalisé de sécurité des commutateurs à un commutateur logique ou à un port logique pour que les paramètres modifiés dans le profil de commutation s'appliquent au trafic réseau. Reportez-vous à la section Associer un profil personnalisé à un commutateur logique ou Associer un profil personnalisé à un port logique.