許可された BPDU リストの宛先 MAC アドレスを使用してカスタムのスイッチ セキュリティのスイッチング プロファイルを作成し、レートの制限を設定することができます。

前提条件

スイッチ セキュリティ スイッチング プロファイルの概念を理解します。「スイッチ セキュリティのスイッチング プロファイルの理解」を参照してください。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) に管理者権限でログインします。
  2. ナビゲーション パネルから、[ネットワーク] > [スイッチング] の順に選択します。
  3. [スイッチング プロファイル] タブをクリックします。
  4. [追加] をクリックして、[スイッチ セキュリティ] を選択します。
  5. スイッチ セキュリティ プロファイルの詳細を指定します。
    オプション 説明
    名前と説明

    カスタムのスイッチ セキュリティ プロファイルに名前を割り当てます。

    オプションで、プロファイルの変更内容を入力できます。

    BPDU フィルタ

    [BPDU フィルタ] ボタンを切り替えて BPDU フィルタを有効にします。

    BPDU フィルタを有効にすると、BPDU の宛先の MAC アドレスに対するすべてのトラフィックがブロックされます。また、BPDU フィルタを有効にすると、論理スイッチ ポートの STP が無効になります。これらのポートが STP に参加することは想定されていないためです。

    BPDU フィルタ許可リスト BPDU の宛先の MAC アドレス リストから宛先の MAC アドレスをクリックし、宛先を承認してトラフィックの送信を許可します。
    DHCP フィルタ

    [サーバ ブロック] ボタンおよび [クライアント ブロック] ボタンを切り替えて、DHCP フィルタを有効にします。

    DHCP サーバのブロックにより、DHCP サーバから DHCP クライアントへのトラフィックがブロックされます。DHCP サーバから DHCP リレー エージェントへのトラフィックはブロックされないことに注意してください。

    DHCP クライアントのブロックでは DHCP 要求がブロックされるため、仮想マシンによる DHCP IP アドレスの取得を防止できます。

    非 IP トラフィックをブロック

    [非 IP トラフィックをブロック] ボタンを切り替えて、IPv4、IPv6、ARP、GARP、および BPDU トラフィックのみを許可します。

    それ以外のトラフィックはブロックされます。許可される IPv4、IPv6、ARP、GARP および BPDU トラフィックは、アドレス バインドおよび SpoofGuard に設定されたその他のポリシーに基づきます。

    デフォルトではこのオプションは無効で、非 IP トラフィックは通常のトラフィックとして処理されます。

    レート制限

    入力方向または出力方向のブロードキャストおよびマルチキャスト トラフィックのレートに制限を設定します。

    レートの制限は、たとえば大量のブロードキャスト トラフィックが発生した場合に論理スイッチや仮想マシンを保護するために設定します。

    接続の問題を回避するため、レートの制限の最小値は 10 pps 以上にする必要があります。

  6. [追加] をクリックします。

結果

カスタムのスイッチ セキュリティ プロファイルがリンクとして表示されます。

次のタスク

このスイッチ セキュリティがカスタマイズされたスイッチング プロファイルを論理スイッチまたは論理ポートに接続し、スイッチング プロファイル内で変更されたパラメータがネットワーク トラフィックに適用されるようにします。カスタム プロファイルと論理スイッチの関連付けまたは論理ポートとカスタム プロファイルの関連付けを参照してください。