デフォルト プロファイルの設定がニーズに合っていない場合は、カスタム セグメント セキュリティ セグメント プロファイルを作成できます。
前提条件
セグメント セキュリティ セグメント プロファイルの概念を理解します。「セグメント セキュリティのセグメント プロファイルの理解」を参照してください。
手順
- 管理者権限で NSX Manager にログインします。
- の順に選択します。
- [セグメント プロファイルの追加] をクリックして、[セグメント セキュリティ] を選択します。
- セグメント セキュリティ プロファイルの詳細を入力します。
オプション 説明 名前 プロファイルの名前です。 BPDU フィルタ [BPDU フィルタ] ボタンを切り替えて BPDU フィルタを有効にします。デフォルトは無効です。
BPDU フィルタを有効にすると、BPDU の宛先の MAC アドレスに対するすべてのトラフィックがブロックされます。また、BPDU フィルタを有効にすると、論理スイッチ ポートの STP が無効になります。これらのポートが STP に参加することは想定されていないためです。
BPDU フィルタ許可リスト BPDU の宛先の MAC アドレス リストから宛先の MAC アドレスをクリックし、宛先を承認してトラフィックの送信を許可します。このリストから選択できるようにするには、[BPDU フィルタ] を有効にする必要があります。 DHCP フィルタ [サーバ ブロック] ボタンおよび [クライアント ブロック] ボタンを切り替えて、DHCP フィルタを有効にします。どちらもデフォルトは無効です。
DHCP サーバのブロックにより、DHCP サーバから DHCP クライアントへのトラフィックがブロックされます。UDP 宛先ポート番号が 68 のパケットがブロックされます。DHCP サーバから DHCP リレー エージェントへのトラフィックはブロックされません。DHCP リレー エージェントに応答する DHCP サーバでは、DHCP クライアント ブロックが無効になっている必要があります。
DHCP クライアントのブロックでは DHCP 要求がブロックされるため、仮想マシンによる DHCP IP アドレスの取得を防止できます。UDP 宛先ポート番号が 67 のパケットがブロックされます。
DHCPv6 フィルタ [サーバ ブロック - IPv6] ボタンおよび [クライアント ブロック - IPv6] ボタンを切り替えて、DHCP フィルタを有効にします。どちらもデフォルトは無効です。
DHCPv6 サーバのブロックにより、DHCPv6 サーバから DHCPv6 クライアントへのトラフィックがブロックされます。UDP 宛先ポート番号が 546 のパケットがブロックされます。DHCPv6 サーバから DHCPv6 リレー エージェントへのトラフィックはブロックされません。DHCPv6 リレー エージェントに応答する DHCPv6 サーバでは、DHCPv6 クライアント ブロックが無効になっている必要があります。
DHCPv6 クライアントのブロックでは DHCPv6 要求がブロックされるため、仮想マシンによる DHCPv6 IP アドレスの取得を防止できます。UDP 宛先ポート番号が 547 のパケットがブロックされます。
非 IP トラフィックをブロック [非 IP トラフィックをブロック] ボタンを切り替えて、IPv4、IPv6、ARP および BPDU トラフィックのみを許可します。
それ以外のトラフィックはブロックされます。IPv4、IPv6、ARP、GARP および BPDU トラフィックは、アドレスの割り当ておよび SpoofGuard に構成されたその他のポリシーに基づいて許可されます。
デフォルトではこのオプションは無効で、非 IP トラフィックは通常のトラフィックとして処理されます。
RA ガード 入力方向の IPv6 ルーター アドバタイズを除外するには、[RA ガード] ボタンを切り替えます。ICMPv6 タイプ 134 パケットが除外されます。このオプションはデフォルトで有効です。 レート制限 ブロードキャスト トラフィックとマルチキャスト トラフィックのレート制限を設定します。このオプションはデフォルトで有効です。
レート制限は、ブロードキャストの大量発生などのイベントからワークロードや仮想マシンを保護するために使用できます。
接続の問題を回避するため、レートの制限の最小値は 10 pps 以上にする必要があります。
- [保存] をクリックします。