Il criterio di protezione dei servizi di rete offre la protezione del traffico dalla rappresentazione di indirizzi MAC e dalla scansione indesiderata della porta
Il criterio di protezione di un commutatore standard o distribuito viene implementato nel livello 2 (data-link layer) dello stack del protocollo di rete. I tre elementi del criterio di sicurezza sono la modalità promiscua, le modifiche agli indirizzi MAC e le trasmissioni contraffatte. Consultare la documentazione di Sicurezza di vSphere per informazioni sulle potenziali minacce di rete.
Configurazione del criterio di sicurezza per un vSphere Standard Switch o un gruppo di porte standard
Per un vSphere Standard Switch, è possibile configurare il criterio di protezione in modo che rifiuti le modifiche dell'indirizzo MAC e della modalità promiscua nel sistema operativo guest di una macchina virtuale. È possibile sostituire il criterio di sicurezza ereditato dal commutatore standard sui singoli gruppi di porte.
Procedura
- In vSphere Client, passare all'host.
- Nella scheda Configura, espandere Rete e selezionare Commutatori virtuali.
- Passare al criterio di sicurezza per il commutatore standard o il gruppo di porte.
Opzione Azione vSphere Standard Switch - Selezionare un commutatore standard dall'elenco.
- Fare clic su Modifica impostazioni.
- Selezionare Sicurezza.
Gruppo di porte standard - Selezionare il commutatore standard in cui si trova il gruppo di porte.
- Nel diagramma di topologia, selezionare un gruppo di porte standard.
- Fare clic su Modifica impostazioni.
- Selezionare Sicurezza e selezionare Sostituisci accanto alle opzioni da sostituire.
- Rifiutare o accettare modifiche all'indirizzo MAC o attivazione della modalità promiscua nel sistema operativo guest delle macchine virtuali collegate al commutatore standard o al gruppo di porte.
Opzione Descrizione Modalità promiscua - Rifiuta. La scheda di rete della macchina virtuale riceve solo i frame che vengono indirizzati alla macchina virtuale.
- Accetta. Il commutatore virtuale inoltra tutti i frame alla macchina virtuale in conformità con il criterio attivo della VLAN per la porta a cui è connessa la scheda di rete della macchina virtuale.
Nota: La modalità promiscua non è sicura. I firewall, i scanner di porte, i sistemi di rilevamento delle intrusioni devono essere eseguiti in modalità promiscua.Modifiche all'indirizzo MAC - Rifiuta. Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale sostituendolo con un valore diverso dall'indirizzo MAC della scheda di rete della macchina virtuale, il commutatore elimina tutti i frame in entrata nella scheda.
Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale riportandolo all'indirizzo MAC della scheda di rete della macchina virtuale, la macchina virtuale riceve di nuovo i frame.
- Accetta. Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale con un valore diverso dall'indirizzo MAC della scheda di rete della macchina virtuale, il commutatore consente il passaggio dei frame al nuovo indirizzo.
Trasmissioni contraffatte - Rifiuta. Il commutatore elimina qualsiasi frame in uscita dalla scheda di una macchina virtuale con un indirizzo MAC di origine diverso da quello nel file di configurazione .vmx.
- Accetta. Il commutatore non esegue il filtro e consente tutti i frame in uscita.
Stato Abilitare o disabilitare la funzionalità di acquisizione MAC. Questa opzione è disabilitata per impostazione predefinita. Consenti flooding unicast Quando un pacchetto ricevuto da una porta ha un indirizzo MAC di destinazione sconosciuto, il pacchetto viene rimosso. Con il flooding unicast sconosciuto abilitato, la porta esegue il flooding del traffico unicast sconosciuto verso ogni porta del commutatore in cui è abilitata l'acquisizione MAC e il flooding unicast sconosciuto. Questa proprietà è abilitata per impostazione predefinita se è abilitato l'apprendimento MAC. Limite MAC Il numero di indirizzi MAC che è possibile apprendere è configurabile. Il valore massimo è 4096 per porta, ovvero il valore predefinito. Criterio limite MAC Criterio che viene applicato quando viene raggiunto il limite MAC. Le opzioni sono: - Rimuovi: i pacchetti provenienti da un indirizzo MAC di origine sconosciuto vengono rimossi. I pacchetti in entrata per questo indirizzo MAC verranno considerati come unicast sconosciuti. La porta riceverà i pacchetti solo se è abilitato il flooding unicast sconosciuto.
- Consenti: i pacchetti provenienti da un indirizzo MAC di origine sconosciuto vengono inoltrati anche se l'indirizzo non viene acquisito. I pacchetti in entrata per questo indirizzo MAC verranno considerati come unicast sconosciuti. La porta riceverà i pacchetti solo se è abilitato il flooding unicast sconosciuto.
- Fare clic su OK.
Configurazione del criterio di sicurezza per un gruppo di porte distribuite o una porta distribuita
Questa sezione mostra come impostare un criterio di sicurezza in un gruppo di porte distribuite per consentire o rifiutare le modifiche della modalità promiscua e all'indirizzo MAC dal sistema operativo guest delle macchine virtuali associate al gruppo di porte. È possibile sostituire il criterio di protezione ereditato dai gruppi di porte distribuite sulle singole porte.
Prerequisiti
Per sostituire un criterio a livello di porta distribuita, abilitare l'opzione di sostituzione a livello di porta per tale criterio. Vedere Configurazione della sostituzione dei criteri di rete a livello di porta.
Procedura
- Nella pagina Home di vSphere Client, fare clic su Rete e passare al Distributed Switch.
- Passare al criterio di sicurezza per il gruppo di porte distribuite o la porta distribuita.
Opzione Azione Gruppo di porte distribuite - Dal menu Azioni, selezionare .
- Selezionare Sicurezza e fare clic su Avanti.
- Selezionare il gruppo di porte e fare clic su Avanti.
Porta distribuita - Nella scheda Reti, fare clic su Gruppi di porte distribuiti quindi fare doppio clic su un gruppo di porte distribuite.
- Nella scheda Porte, selezionare una porta e fare clic sull'icona Modifica impostazioni.
- Selezionare Sicurezza.
- Selezionare Sostituisci accanto alle proprietà da sostituire.
- Rifiutare o accettare modifiche all'indirizzo MAC o attivazione in modalità promiscua nel sistema operativo guest delle macchine virtuali collegate al gruppo di porte distribuite o alla porta distribuita.
Opzione Descrizione Modalità promiscua - Rifiuta. La scheda di rete della macchina virtuale riceve solo i frame che vengono indirizzati alla macchina virtuale.
- Accetta. Il commutatore virtuale inoltra tutti i frame alla macchina virtuale in conformità con il criterio attivo della VLAN per la porta a cui è connessa la scheda di rete della macchina virtuale.
Nota: La modalità promiscua non è sicura. I firewall, i scanner di porte, i sistemi di rilevamento delle intrusioni devono essere eseguiti in modalità promiscua.Modifiche all'indirizzo MAC - Rifiuta. Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale sostituendolo con un valore diverso dall'indirizzo MAC della scheda di rete della macchina virtuale, il commutatore elimina tutti i frame in entrata nella scheda.
Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale riportandolo all'indirizzo MAC della scheda di rete della macchina virtuale, la macchina virtuale riceve di nuovo i frame.
- Accetta. Se il sistema operativo guest modifica l'indirizzo MAC effettivo della macchina virtuale con un valore diverso dall'indirizzo MAC della scheda di rete della macchina virtuale, il commutatore consente il passaggio dei frame al nuovo indirizzo.
Trasmissioni contraffatte - Rifiuta. Il commutatore elimina qualsiasi frame in uscita dalla scheda di una macchina virtuale con un indirizzo MAC di origine diverso da quello nel file di configurazione .vmx.
- Accetta. Il commutatore non esegue il filtro e consente tutti i frame in uscita.
Stato Abilitare o disabilitare la funzionalità di acquisizione MAC. Questa opzione è disabilitata per impostazione predefinita. Consenti flooding unicast Quando un pacchetto ricevuto da una porta ha un indirizzo MAC di destinazione sconosciuto, il pacchetto viene rimosso. Con il flooding unicast sconosciuto abilitato, la porta esegue il flooding del traffico unicast sconosciuto verso ogni porta del commutatore in cui è abilitata l'acquisizione MAC e il flooding unicast sconosciuto. Questa proprietà è abilitata per impostazione predefinita se è abilitato l'apprendimento MAC. Limite MAC Il numero di indirizzi MAC che è possibile apprendere è configurabile. Il valore massimo è 4096 per porta, ovvero il valore predefinito. Criterio limite MAC Criterio che viene applicato quando viene raggiunto il limite MAC. Le opzioni sono: - Rimuovi: i pacchetti provenienti da un indirizzo MAC di origine sconosciuto vengono rimossi. I pacchetti in entrata per questo indirizzo MAC verranno considerati come unicast sconosciuti. La porta riceverà i pacchetti solo se è abilitato il flooding unicast sconosciuto.
- Consenti: i pacchetti provenienti da un indirizzo MAC di origine sconosciuto vengono inoltrati anche se l'indirizzo non viene acquisito. I pacchetti in entrata per questo indirizzo MAC verranno considerati come unicast sconosciuti. La porta riceverà i pacchetti solo se è abilitato il flooding unicast sconosciuto.
- Rivedere le impostazioni e applicare la configurazione.