À l'aide d'une règle, autorisez ou arrêtez le trafic pour sécuriser les flux de données via une machine virtuelle, un adaptateur VMkernel ou un adaptateur physique.

Préambules

Pour remplacer une stratégie au niveau d'un port distribué, activez l'option de remplacement au niveau du port de cette stratégie. Reportez-vous à Configurer le remplacement des stratégies de mise en réseau au niveu des ports.

Procédure

  1. Accédez à un commutateur distribué, puis accédez à un port distribué ou un port de liaison montante.
    • Pour accéder aux ports distribués du commutateur, cliquez sur Réseaux > Groupes de ports distribués, double-cliquez sur un groupe de ports distribués dans la liste et enfin cliquez sur l'onglet Ports.

    • Pour accéder aux ports de liaison montante d'un groupe de ports de liaison montante, cliquez sur Réseaux > Groupes de ports de liaison montante, double-cliquez sur un groupe de ports de liaison montante dans la liste, puis cliquez sur l'onglet Ports.

  2. Sélectionnez un port de la liste.
  3. Cliquez sur Modifier les paramètres d'un port distribué.
  4. Si le filtrage et le balisage du trafic n'est pas activé au niveau du port, cliquez sur Remplacer et, dans le menu déroulant Statut, sélectionnez Activé.
  5. Cliquez sur Nouveau pour créer une règle ou sélectionnez une règle et cliquez sur Modifier pour y apporter des modifications.

    Vous pouvez modifier une règle héritée du groupe de ports distribués ou du groupe de ports de liaison montante. Ainsi, la règle devient unique dans l'étendue du port.

  6. Dans la boîte de dialogue de la règle de trafic réseau, sélectionnez l'action Autoriser pour autoriser le trafic à passer par le port distribué ou le port de liaison montante ou l'action Annuler pour le restreindre.
  7. Indiquez le type de trafic auquel la règle s'applique.

    Pour déterminer si un flux de données se trouve dans l'étendue d'une règle pour le balisage ou le filtrage, le vSphere Distributed Switch examine le sens du trafic, ainsi que des propriétés telles que la source et la destination, le VLAN, le protocole du niveau suivant, le type de trafic d'infrastructure, etc.

    1. Dans le menu déroulant Sens du trafic, choisissez si le trafic doit entrer, sortir ou les deux, afin que la règle le reconnaisse comme une correspondance.

      Le sens influence aussi la manière dont vous allez identifier la source et la destination du trafic.

    2. En utilisant des qualificateurs pour le type de données système, les attributs de paquet de la couche 2 et les attributs de paquet de la couche 3, définissez les propriétés que les paquets doivent posséder pour correspondre à la règle.

      Un qualificateur représente un ensemble de critères de correspondance liés à une couche réseau. Vous pouvez faire correspondre le trafic au type de données système, aux propriétés de trafic de la couche 2 et aux propriétés de trafic de la couche 3. Vous pouvez utiliser un qualificateur pour une couche réseau spécifique ou combiner des qualificateurs pour faire correspondre les paquets de manière plus précise.

      • Utilisez le qualificateur de trafic système pour faire correspondre les paquets au type des données d'infrastructure virtuelle qui sont transmises via les ports du groupe. Par exemple, vous pouvez sélectionner NFS pour les transferts de données vers un stockage réseau.

      • Utilisez le qualificateur de trafic MAC pour faire correspondre les paquets par adresse MAC, ID VLAN et protocole du niveau suivant.

        La recherche du trafic avec un ID VLAN sur un groupe de ports distribués fonctionne avec le balisage d'invité virtuel (VGT). Pour faire correspondre le trafic à l'ID VLAN si le balisage de commutateur virtuel (VST) est actif, utilisez une règle sur un groupe de ports de liaison montante ou un port de liaison montante.

      • Utilisez le qualificateur de trafic IP pour faire correspondre les paquets par version IP, adresse IP et protocole et port du niveau suivant.

  8. Dans la boîte de dialogue de la règle, cliquez sur OK pour enregistrer la règle.