Vous pouvez créer un profil de segment de sécurité de segment personnalisé si les paramètres du profil par défaut ne répondent pas à vos besoins.
Conditions préalables
Familiarisez-vous avec le concept de segment de sécurité de segment. Reportez-vous à la section Comprendre le profil de segmentation de sécurité de segment.
Procédure
- Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
- Sélectionnez .
- Cliquez sur Ajouter un profil de segment et sélectionnez Sécurité du segment.
- Renseignez les détails du profil de sécurité de segment.
Option Description Nom Nom du profil. Filtre BPDU Basculez le bouton Filtre BPDU pour activer le filtrage BPDU. Désactivé par défaut.
Lorsque le filtre BPDU est activé, tout le trafic vers l'adresse MAC de destination du BPDU est bloqué. Le filtre BPDU activé désactive également STP sur les ports de commutateur logique, car il n'est pas prévu que ces ports agissent dans STP.
Liste d'autorisation de filtre BPDU Cliquez sur l'adresse MAC de destination dans la liste d'adresses MAC de destination du BPDU pour autoriser le trafic vers la destination autorisée. Vous devez activer Filtre BPDU pour pouvoir le sélectionner dans cette liste. Filtre DHCP Basculez les boutons Bloc de serveur et Bloc de client pour activer le filtrage DHCP. Les deux valeurs sont désactivées par défaut.
Bloc de serveur DHCP bloque le trafic entre un serveur DHCP et un client DHCP. Les paquets dont le numéro de port destination UDP est 68 sont bloqués. Notez qu'il ne bloque pas le trafic d'un serveur DHCP vers un agent de relais DHCP et que le bloc de client DHCP doit être désactivé sur le serveur DHCP répondant à un agent de relais DHCP.
Bloc de client DHCP empêche une VM d'acquérir une adresse IP DHCP en bloquant les demandes DHCP. Les paquets dont le numéro de port destination UDP est 67 sont bloqués.
Filtre DHCPv6 Basculez les boutons Bloc de serveur - IPv6 et Bloc de client - IPv6 pour activer le filtrage DHCP. Les deux valeurs sont désactivées par défaut.
Le blocage de serveur DHCPv6 bloque le trafic allant d'un serveur DHCPv6 vers un client DHCPv6. Les paquets dont le numéro de port destination UDP est 546 sont bloqués. Notez qu'il ne bloque pas le trafic d'un serveur DHCPv6 vers un agent de relais DHCPv6 et que le bloc de client DHCPv6 doit être désactivé sur le serveur DHCPv6 répondant à un agent de relais DHCPv6.
Le blocage de client DHCPv6 empêche une machine virtuelle d'acquérir une adresse IP DHCPv6 en bloquant les demandes DHCPv6. Les paquets dont le numéro de port destination UDP est 547 sont bloqués.
Bloquer le trafic non-IP Basculez le bouton Bloquer le trafic non-IP pour autoriser uniquement le trafic IPv4, IPv6, ARP et BPDU.
Le reste du trafic non-IP est bloqué. Le trafic IPv4, IPv6, ARP, GARP et BPDU autorisé est basé sur d'autres stratégies définies dans la configuration de lien d'adresse et SpoofGuard.
Par défaut, cette option est désactivée pour autoriser la gestion du trafic non-IP comme trafic normal.
Protection contre les annonces du routeur Basculez le bouton Protection contre les annonces du routeur pour filtrer les annonces du routeur IPv6 en entrée. Les paquets ICMPv6 de type 134 sont filtrés. Cette option est activée par défaut. Limites de débit Définissez une limite de débit pour le trafic de diffusion et de multidiffusion. Cette option est activée par défaut.
Des limites de débit peuvent être utilisées pour protéger les charges de travail et les machines virtuelles d'événements, tels que les tempêtes de diffusion.
Pour éviter tout problème de connectivité, la valeur minimale du débit maximal doit être >= 10 pps.
- Cliquez sur Enregistrer.