Définissez une règle de sécurité sur un groupe de ports distribués pour autoriser ou interdire le mode de promiscuité et les modifications d'adresse MAC pour le système d'exploitation invité des machines virtuelles associées au groupe de ports. Vous pouvez remplacer la règle de sécurité héritée des groupes de ports distribués ou de ports individuels.

Préambules

Pour remplacer une stratégie au niveau d'un port distribué, activez l'option de remplacement au niveau du port de cette stratégie. Reportez-vous à Configurer le remplacement des stratégies de mise en réseau au niveu des ports.

Procédure

  1. Dans vSphere Web Client, accédez au commutateur distribué.
  2. Accédez à la règle de sécurité configurée sur le port distribué ou le groupe de ports distribués.

    Option

    Action

    Groupe de ports distribués

    1. Dans le menu Actions, sélectionnez Groupe de ports distribués > Gérer des groupes de ports distribués.

    2. Sélectionnez Sécurité.

    3. Sélectionnez le groupe de ports et cliquez sur Suivant.

    Port distribué

    1. Dans l'onglet Réseaux, cliquez sur Groupes de ports distribués et faites un double clic sur un groupe de ports distribués.

    2. Dans l'onglet Ports, sélectionnez un port et cliquez sur l'icône Modifier les paramètres d'un port distribué.

    3. Sélectionnez Sécurité.

    4. Sélectionnez Remplacer en regard des propriétés à remplacer.

  3. Interdisez ou autorisez l'activation du mode promiscuité ou les modifications d'adresse MAC sur le système d'exploitation invité des machines virtuelles reliées au port distribué ou au groupe de ports distribués.

    Option

    Description

    Mode promiscuité

    • Rejeter. L'adaptateur réseau de la machine virtuelle ne reçoit que les trames adressées à la machine virtuelle.

    • Accepter. Le commutateur virtuel transmet toutes les trames à la machine virtuelle conformément à la stratégie VLAN active du port auquel l'adaptateur réseau de la machine virtuelle est connecté.

    Remarque :

    Le mode promiscuité est un mode de fonctionnement non sécurisé. Les pare-feu, scanners de ports, systèmes de détection d'intrusion, doivent s'exécuter en mode promiscuité.

    Modifications d'adresse MAC

    • Rejeter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle (définie dans le fichier de configuration .vmx), le commutateur rejette toutes les trames entrantes de l'adaptateur.

      Si le système d'exploitation invité remplace à nouveau l'adresse MAC effective de la machine virtuelle par l'adresse MAC de l'adaptateur réseau de la machine virtuelle, la machine virtuelle reçoit de nouveau les trames.

    • Accepter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur autorise la transmission des trames vers la nouvelle adresse.

    Transmissions forgées

    • Rejeter. Le commutateur ignore toutes les trames sortantes provenant d'un adaptateur de machine virtuelle dont l'adresse MAC source est différente de celle qui figure dans le fichier de configuration .vmx.

    • Accepter. Le commutateur n'effectue pas de filtrage et autorise toutes les trames sortantes.

  4. Vérifiez vos paramètres et appliquez la configuration.