Découvrez comment autoriser ou arrêter le trafic pour sécuriser les données acheminées via les ports d'un groupe de ports distribués ou d'un groupe de ports de liaison montante.
Procédure
- Recherchez un groupe de ports distribués ou un groupe de ports de liaison montante dans vSphere Client.
- Sélectionnez un commutateur distribué et cliquez sur l'onglet Réseaux.
- Cliquez sur Groupes de ports distribués pour afficher la liste des groupes de ports distribués, ou cliquez sur Groupes de ports de liaison montante pour afficher la liste des groupes de ports de liaison montante.
- Cliquez sur un groupe de ports distribués ou un groupe de ports de liaison montante, puis sélectionnez l'onglet Configurer.
- Sous Paramètres, sélectionnez Filtrage et balisage du trafic.
- Si le filtrage et le balisage du trafic sont désactivés, cliquez sur Activer et réorganiser > Activer toutes les règles de trafic > OK.
- Cliquez sur Ajouter pour créer une règle, ou sélectionnez une règle et cliquez sur Modifier pour la modifier.
- Dans la boîte de dialogue Règle de trafic réseau, définissez les options de la section Action pour autoriser ou interdire l'acheminement du trafic via les ports du groupe de ports distribués ou du groupe de ports de liaison montante.
- Indiquez le type de trafic auquel la règle s'applique.
Pour déterminer si un flux de données se trouve dans l'étendue d'une règle pour le balisage ou le filtrage, le vSphere Distributed Switch examine le sens du trafic, ainsi que des propriétés telles que la source et la destination, le VLAN, le protocole du niveau suivant, le type de trafic d'infrastructure, etc.
- Dans le menu déroulant Sens du trafic, choisissez si le trafic doit entrer, sortir ou les deux, afin que la règle le reconnaisse comme une correspondance.
Le sens influence aussi la manière dont vous allez identifier la source et la destination du trafic.
- En utilisant des qualificateurs pour le type de données système, les attributs de paquet de la couche 2 et les attributs de paquet de la couche 3, définissez les propriétés que les paquets doivent posséder pour correspondre à la règle.
Un qualificateur représente un ensemble de critères de correspondance liés à une couche réseau. Vous pouvez faire correspondre le trafic au type de données système, aux propriétés de trafic de la couche 2 et aux propriétés de trafic de la couche 3. Vous pouvez utiliser un qualificateur pour une couche réseau spécifique ou combiner des qualificateurs pour faire correspondre les paquets de manière plus précise.
- Utilisez le qualificateur de trafic système pour faire correspondre les paquets au type des données d'infrastructure virtuelle qui sont transmises via les ports du groupe. Par exemple, vous pouvez sélectionner NFS pour les transferts de données vers un stockage réseau.
- Utilisez le qualificateur de trafic MAC pour faire correspondre les paquets par adresse MAC, ID VLAN et protocole du niveau suivant.
La recherche du trafic avec un ID VLAN sur un groupe de ports distribués fonctionne avec le balisage d'invité virtuel (VGT). Pour faire correspondre le trafic à l'ID VLAN si le balisage de commutateur virtuel (VST) est actif, utilisez une règle sur un groupe de ports de liaison montante ou un port de liaison montante.
- Utilisez le qualificateur de trafic IP pour faire correspondre les paquets par version IP, adresse IP et protocole et port du niveau suivant.
- Dans le menu déroulant Sens du trafic, choisissez si le trafic doit entrer, sortir ou les deux, afin que la règle le reconnaisse comme une correspondance.
- Dans la boîte de dialogue de la règle, cliquez sur OK pour enregistrer la règle.