Proteggere il commutatore fisico su ogni host ESXi per evitare che utenti malintenzionati possano ottenere l'accesso all'host e alle relative macchine virtuali.
Per proteggere al meglio gli host, assicurarsi che le porte del commutatore fisico siano configurate con Spanning Tree disattivato e che l'opzione di non negoziazione sia configurata per i collegamenti di trunk tra commutatori fisici esterni e commutatori virtuali in modalità VST (Virtual Switch Tagging).
Procedura
- Accedere al commutatore fisico e assicurarsi che il protocollo Spanning Tree sia disattivato o che Port Fast sia configurato per tutte le porte del commutatore fisico connesse agli host ESXi.
- Per le macchine virtuali che eseguono il bridging o il routing, verificare periodicamente che la prima porta del commutatore fisico upstream sia configurata con BPDU Guard e Port Fast disattivati e con il protocollo Spanning Tree attivato.
Per proteggere il commutatore fisico da potenziali attacchi DoS (Denial of Service), è possibile attivare il filtro BPDU guest negli host
ESXi.
- Accedere al commutatore fisico e assicurarsi che il protocollo DTP (Dynamic Trunking Protocol) non sia attivato nelle porte del commutatore fisico connesse agli host ESXi.
- Controllare regolarmente le porte del commutatore fisico per assicurarsi che siano configurate correttamente come porte trunk se connesse alle porte di trunking VLAN dello switch virtuale.
