È possibile creare un profilo di commutazione di sicurezza personalizzato per un commutatore con gli indirizzi di destinazione MAC dell'elenco di BPDU consentiti e configurare la limitazione della velocità.

Prerequisiti

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Selezionare Rete > Commutatori logici.
  3. Fare clic sulla scheda Profili di commutazione.
  4. Fare clic su Aggiungi e selezionare Sicurezza commutatore.
  5. Specificare i dettagli del profilo di sicurezza del commutatore.
    Opzione Descrizione
    Nome e descrizione

    Assegnare un nome al profilo di sicurezza del commutatore personalizzato.

    Facoltativamente, è possibile descrivere l'impostazione modificata nel profilo.

    Filtro BPDU

    Attivare o disattivare il pulsante Filtro BPDU per abilitare il filtro BPDU. Disabilitato per impostazione predefinita.

    Quando il filtro BPDU è abilitato, tutto il traffico verso l'indirizzo MAC di destinazione BPDU viene bloccato. Se è abilitato, il filtro BPDU disabilita anche STP nelle porte del commutatore logico perché queste porte non dovrebbero essere incluse in STP.

    Elenco filtri BPDU consentiti Fare clic sull'indirizzo MAC di destinazione dall'elenco di indirizzi MAC di destinazione BPDU per consentire il traffico verso la destinazione consentita. Per poter selezionare un indirizzo in questo elenco, è necessario abilitare Filtro BPDU.
    Filtro DHCP

    Attivare o disattivare il pulsante Blocco server e il pulsante Blocco client per abilitare il filtro DHCP. Entrambi sono disabilitati per impostazione predefinita.

    Il blocco server DHCP blocca il traffico da un server DHCP a un client DHCP. I pacchetti il cui numero di porta di destinazione UDP è 68 vengono bloccati. Si tenga presente che il traffico da un server DHCP a un agente di inoltro DHCP non viene bloccato e nel server DHCP che risponde a un agente di inoltro DHCP deve essere disabilitato il blocco client DHCP.

    Il blocco client DHCP impedisce a una macchina virtuale di acquisire un indirizzo IP DHCP bloccando le richieste DHCP. I pacchetti il cui numero di porta di destinazione UDP è 67 vengono bloccati.

    Filtro DHCPv6

    Attivare o disattivare il pulsante Blocco server V6 e il pulsante Blocco client V6 per abilitare il filtro DHCP. Entrambi sono disabilitati per impostazione predefinita.

    Il blocco del server DHCPv6 blocca il traffico da un server DHCPv6 a un client DHCPv6. I pacchetti il cui numero di porta di destinazione UDP è 546 vengono bloccati. Si tenga presente che il traffico da un server DHCPv6 a un agente di inoltro DHCPv6 non viene bloccato e nel server DHCPv6 che risponde a un agente di inoltro DHCPv6 deve essere disabilitato il blocco client DHCPv6.

    Il blocco client DHCPv6 impedisce a una macchina virtuale di acquisire un indirizzo IP DHCPv6 bloccando le richieste DHCPv6. I pacchetti il cui numero di porta di destinazione UDP è 547 vengono bloccati.

    Blocca traffico non IP

    Attivare o disattivare il pulsante Blocca traffico non IP per consentire solo il traffico IPv4, IPv6, ARP e BPDU.

    Il resto del traffico non IP è bloccato. Il traffico IPv4, IPv6, ARP, GARP e BPDU consentito si basa sugli altri criteri impostati nella configurazione del binding degli indirizzi e di SpoofGuard.

    Per impostazione predefinita, questa opzione è disabilitata per consentire la gestione del traffico non IP come traffico regolare.

    RA Guard Attivare o disattivare il pulsante RA Guard per escludere gli annunci del router IPv6 in ingresso. I pacchetti 134 di tipo ICMPv6 vengono esclusi. Questa opzione è abilitata per impostazione predefinita.
    Limiti di velocità

    Impostare un limite di velocità per il traffico broadcast e multicast. Questa opzione è abilitata per impostazione predefinita.

    I limiti di velocità possono essere utilizzati per proteggere il commutatore logico o le macchine virtuali da eventi come tempeste di trasmissioni.

    Per evitare problemi di connettività, il valore del limite di velocità minimo deve essere >= 10 pps.

  6. Fare clic su Aggiungi.

risultati

Un profilo di sicurezza del commutatore personalizzato viene visualizzato come un collegamento.

Operazioni successive

Collegare questo profilo di commutazione personalizzato di sicurezza del commutatore a un commutatore logico oppure a una porta logica in modo che i parametri modificati nel profilo di commutazione vengano applicati al traffico di rete. Vedere Associazione di un profilo personalizzato a un commutatore logico in modalità Manager o Associazione di un profilo personalizzato a una porta logica in modalità Manager.