許可された BPDU リストの宛先 MAC アドレスを使用してカスタムのスイッチ セキュリティのスイッチング プロファイルを作成し、レートの制限を構成することができます。
前提条件
-
スイッチ セキュリティ スイッチング プロファイルの概念を理解します。スイッチ セキュリティのスイッチング プロファイルの理解 を参照してください。
-
NSX Manager ユーザー インターフェイスで [マネージャ] モードが選択されていることを確認します。NSX Manager を参照してください。[ポリシー] モード ボタンと [マネージャ] モード ボタンが表示されない場合は、ユーザー インターフェイスの構成を参照してください。
手順
- 管理者権限で NSX Manager にログインします。
- の順に選択します。
- [スイッチング プロファイル] タブをクリックします。
- [追加] をクリックして、[スイッチ セキュリティ] を選択します。
- スイッチ セキュリティ プロファイルの詳細を指定します。
オプション 説明 名前と説明 カスタムのスイッチ セキュリティ プロファイルに名前を割り当てます。
オプションで、プロファイルの変更内容を入力できます。
BPDU フィルタ [BPDU フィルタ] ボタンを切り替えて BPDU フィルタを有効にします。デフォルトは無効です。
BPDU フィルタを有効にすると、BPDU の宛先の MAC アドレスに対するすべてのトラフィックがブロックされます。また、BPDU フィルタを有効にすると、論理スイッチ ポートの STP が無効になります。これらのポートが STP に参加することは想定されていないためです。
BPDU フィルタ許可リスト BPDU の宛先の MAC アドレス リストから宛先の MAC アドレスをクリックし、宛先を承認してトラフィックの送信を許可します。このリストから選択できるようにするには、[BPDU フィルタ] を有効にする必要があります。 DHCP フィルタ [サーバ ブロック] ボタンおよび [クライアント ブロック] ボタンを切り替えて、DHCP フィルタを有効にします。どちらもデフォルトは無効です。
DHCP サーバのブロックにより、DHCP サーバから DHCP クライアントへのトラフィックがブロックされます。DHCP サーバから DHCP リレー エージェントへのトラフィックはブロックされないことに注意してください。
DHCP クライアントのブロックでは DHCP 要求がブロックされるため、仮想マシンによる DHCP IP アドレスの取得を防止できます。
DHCPv6 フィルタ [V6 サーバ ブロック] ボタンおよび [V6 クライアント ブロック] ボタンを切り替えて、DHCP フィルタを有効にします。どちらもデフォルトは無効です。
DHCPv6 サーバのブロックにより、DHCPv6 サーバから DHCPv6 クライアントへのトラフィックがブロックされます。DHCP サーバから DHCP リレー エージェントへのトラフィックはブロックされないことに注意してください。UDP 送信元ポート番号が 547 のパケットがフィルタされます。
DHCPv6 クライアントのブロックでは DHCP 要求がブロックされるため、仮想マシンによる DHCP IP アドレスの取得を防止できます。UDP 送信元ポート番号が 546 のパケットがフィルタされます。
非 IP トラフィックをブロック [非 IP トラフィックをブロック] ボタンを切り替えて、IPv4、IPv6、ARP および BPDU トラフィックのみを許可します。
それ以外のトラフィックはブロックされます。IPv4、IPv6、ARP、GARP および BPDU トラフィックは、アドレスの割り当ておよび SpoofGuard に構成されたその他のポリシーに基づいて許可されます。
デフォルトではこのオプションは無効で、非 IP トラフィックは通常のトラフィックとして処理されます。
RA ガード 入力方向の IPv6 ルーター アドバタイズを除外するには、[RA ガード] ボタンを切り替えます。ICMPv6 タイプ 134 パケットが除外されます。このオプションはデフォルトで有効です。 レート制限 ブロードキャスト トラフィックとマルチキャスト トラフィックのレート制限を設定します。このオプションはデフォルトで有効です。
レート制限は、ブロードキャストの大量発生などのイベントから論理スイッチや仮想マシンを保護するために使用できます。
接続の問題を回避するため、レートの制限の最小値は 10 pps 以上にする必要があります。
- [追加] をクリックします。
結果
カスタムのスイッチ セキュリティ プロファイルがリンクとして表示されます。
次のタスク
このスイッチ セキュリティがカスタマイズされたスイッチング プロファイルを論理スイッチまたは論理ポートに接続し、スイッチング プロファイル内で変更されたパラメータがネットワーク トラフィックに適用されるようにします。マネージャ モードでの論理スイッチ ポートへのカスタム プロファイルの関連付けまたはマネージャ モードでの論理ポートとカスタム プロファイルの関連付けを参照してください。