Gli amministratori dispongono di diverse opzioni per proteggere i commutatori distribuiti vSphere nel proprio ambiente vSphere.

Per le VLAN in un vSphere Distributed Switch si applicano le stesse regole di un commutatore standard. Per ulteriori informazioni, vedere Protezione dei commutatori standard e VLAN.

Procedura

  1. Per i gruppi di porte distribuite con binding statico, disattivare la funzionalità di espansione automatica.

    L'espansione automatica è attivata per impostazione predefinita.

    Per disattivare l'espansione automatica, configurare la proprietà autoExpand nel gruppo di porte distribuite con vSphere Web Services SDK o con un'interfaccia della riga di comando. Vedere la documentazione vSphere Web Services SDK.
  2. Assicurarsi che tutti gli ID VLAN privati di qualsiasi vSphere Distributed Switch siano completamente documentati.
  3. Se si utilizzano dei tag VLAN in un dvPortgroup, gli ID VLAN devono corrispondere agli ID su commutatori upstream esterni basati su VLAN. Se gli ID VLAN non vengono monitorati correttamente, il riutilizzo errato degli ID potrebbe consentire del traffico involontario. Analogamente, gli ID VLAN errati o mancanti potrebbero causare il mancato passaggio del traffico tra macchine fisiche e virtuali.
  4. Verificare che in un gruppo di porte virtuale associato a un vSphere Distributed Switch non siano presenti porte inutilizzate.
  5. Etichettare tutti i commutatori distribuiti vSphere.
    I commutatori distribuiti vSphere associati a un host ESXi richiedono una casella di testo per il nome del commutatore. Questa etichetta funge da descrittore funzionale per il commutatore, proprio come il nome host associato a un commutatore fisico. L'etichetta in vSphere Distributed Switch indica la funzione o la subnet IP dello switch. Ad esempio, è possibile etichettare il commutatore come interno per indicare che è destinato solo alle reti interne in uno switch virtuale privato di una macchina virtuale. Nessun traffico passa attraverso le schede di rete fisiche.
  6. Disattivare il controllo di integrità della rete per i vSphere Distributed Switch se non lo si utilizza attivamente.
    Il controllo dell'integrità della rete è disattivato per impostazione predefinita. Dopo l'attivazione, i pacchetti di controllo dell'integrità contengono informazioni sull'host, sul commutatore e sulla porta che un utente malintenzionato potrebbe utilizzare. Utilizzare il controllo di integrità della rete solo per la risoluzione dei problemi e disattivarlo al termine della risoluzione dei problemi.
  7. Proteggere il traffico virtuale contro gli attacchi di rappresentazione e intercettazione di livello 2 configurando un criterio di protezione su gruppi di porte o porte.
    Il criterio di protezione su porte e gruppi di porte distribuiti include le seguenti opzioni:
    È possibile visualizzare e modificare le impostazioni correnti selezionando Gestione gruppi di porte distribuiti dal menu del pulsante destro del commutatore distribuito e selezionando Sicurezza nella procedura guidata. Vedere la documentazione di Rete di vSphere.