Sur un commutateur standard vSphere, vous pouvez configurer la règle de sécurité permettant d'interdire les modifications d'adresse MAC et l'activation du mode promiscuité sur le système d'exploitation invité d'une machine virtuelle. Vous pouvez remplacer la règle de sécurité héritée du commutateur standard sur des groupes de ports individuels.
Procédure
- Dans vSphere Client, accédez à l'hôte.
- Dans l'onglet Configurer, développez l'option Mise en réseau et sélectionnez Commutateurs virtuels.
- Accédez à la stratégie de sécurité sur le groupe de ports ou le commutateur standard.
Option Action Commutateur standard vSphere - Sélectionnez un commutateur standard dans la liste.
- Cliquez sur Edit settings.
- Sélectionnez Sécurité.
Groupe de ports standard - Sélectionnez le commutateur standard sur lequel réside le groupe de ports.
- Dans le diagramme de topologie, sélectionnez un groupe de ports standard.
- Cliquez sur Edit settings.
- Sélectionnez Sécurité, puis Remplacer en regard des options que vous souhaitez remplacer.
- Interdisez ou autorisez l'activation du mode promiscuité ou les modifications d'adresse MAC sur le système d'exploitation invité des machines virtuelles reliées au commutateur ou au groupe de ports standard.
Option Description Mode promiscuité - Rejeter. L'adaptateur réseau de la machine virtuelle ne reçoit que les trames adressées à la machine virtuelle.
- Accepter. Le commutateur virtuel transmet toutes les trames à la machine virtuelle conformément à la stratégie VLAN active du port auquel l'adaptateur réseau de la machine virtuelle est connecté.
Note : Le mode promiscuité est un mode de fonctionnement non sécurisé. Les pare-feu, scanners de ports, systèmes de détection d'intrusion, doivent s'exécuter en mode promiscuité.Modifications d'adresse MAC - Rejeter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle (définie dans le fichier de configuration .vmx), le commutateur rejette toutes les trames entrantes de l'adaptateur.
Si le système d'exploitation invité remplace à nouveau l'adresse MAC effective de la machine virtuelle par l'adresse MAC de l'adaptateur réseau de la machine virtuelle, la machine virtuelle reçoit de nouveau les trames.
- Accepter. Si le système d'exploitation invité remplace l'adresse MAC effective de la machine virtuelle par une valeur différente de l'adresse MAC de l'adaptateur réseau de la machine virtuelle, le commutateur autorise la transmission des trames vers la nouvelle adresse.
Transmissions forgées - Rejeter. Le commutateur ignore toutes les trames sortantes provenant d'un adaptateur de machine virtuelle dont l'adresse MAC source est différente de celle qui figure dans le fichier de configuration .vmx.
- Accepter. Le commutateur n'effectue pas de filtrage et autorise toutes les trames sortantes.
- Cliquez sur OK.