仮想マシンの IP アドレスは、仮想マシンにインストールされる VMware Tools によって、または DHCP スヌーピングおよび ARP スヌーピングによって検出できます。これらの IP アドレス検出方法は、同じ NSX インストール環境で同時に使用できます。

IP アドレス検出タイプは、グローバル レベルまたはホスト クラスタ レベルで指定できます。通常、セキュリティ管理者とセキュリティ エンジニア ロールを持つユーザーは、IP アドレス検出タイプをグローバル レベルで指定することをお勧めします。検出された仮想マシンの IP アドレスを使用して、SpoofGuard ポリシーと分散ファイアウォール ポリシーを設定します。

通常、エンタープライズ管理者ロールを持つユーザーは仮想ネットワーク全体を管理しているため、ホスト クラスタ レベルで設定を編集して IP アドレス検出タイプを制御したほうが良い場合があります。ホスト クラスタ レベルの IP アドレス検出設定は、グローバル レベルで指定された設定よりも優先されます。

手順

  1. [IP アドレス検出タイプの変更] 画面に移動します。
    IP アドレス検出レベル 手順
    グローバル IP アドレス検出
    1. [ネットワークとセキュリティ] > [セキュリティ] > [SpoofGuard] の順に移動します。
    2. [IP アドレス検出タイプ] の横にある 歯車アイコン アイコンをクリックします。
    ホスト クラスタの IP アドレス検出
    1. [ネットワークとセキュリティ] > [インストールとアップグレード] > [ホストの準備] の順に移動します。
    2. IP アドレス検出を変更するクラスタをクリックして、[アクション] > [IP アドレス検出タイプの変更] の順にクリックします。
  2. 目的の IP アドレス検出タイプを選択して、[保存 (Save)] または [OK] をクリックします。
    IP アドレス検出タイプ 説明
    DHCP スヌーピング NSX は、DHCP スヌーピング エントリを読み取り、ネットワーク内の仮想マシンの IP アドレスを検出します。
    ARP スヌーピング NSX は、ARP スヌーピング メカニズムを使用して、仮想マシンの IP アドレスを検出します。
    推奨 ARP スヌーピングを使用して IP アドレスを検出する場合は、SpoofGuard を設定します。SpoofGuard は、ARP ポイズニング攻撃からネットワークを保護するのに役立ちます。
  3. ARP スヌーピングを選択した場合は、各仮想マシンについて、vNIC ごとに検出する ARP IP アドレスの最大数を入力します。デフォルト値は 1 です。
    ARP スヌーピングは、各仮想マシンの vNIC ごとに最大 128 個までの IP アドレスを検出できます。有効な値の範囲は 1 ~ 128 です。たとえば、5 という値を指定すると、各仮想マシンで vNIC ごとに最大 5 つの IP アドレスが検出されます。

    ARP スヌーピングで検出された IP アドレスは自動的に削除されません。つまり、ARP スヌーピングで検出された vNIC IP アドレスのタイムアウトはありません。

次のタスク

  • ARP スヌーピングを有効にした場合は、ARP ポイズニング攻撃からネットワークを保護するように SpoofGuard を設定することも検討してください。
  • デフォルトのファイアウォール ルールを設定します。