ポート グループのセキュリティ ポリシーを使用すれば、グループに接続されている仮想マシンのゲスト オペレーティング システムでの無差別モードおよび MAC アドレス変更を承諾または拒否することができます。

手順

  1. vSphere Web Client で、ホストに移動します。
  2. 管理 タブで ネットワーク をクリックし、仮想スイッチ を選択します。
  3. リストから標準スイッチを選択します。

    標準スイッチのトポロジ ダイアグラムが表示されます。

  4. 標準スイッチのトポロジ ダイアグラムで、構成する標準ポート グループの名前をクリックします。
  5. 設定の編集 をクリックします。
  6. セキュリティ セクションでオーバーライドするセキュリティ ポリシーの横にあるチェック ボックスを選択し、ドロップダウン メニューを使用してグループのポートを経由する仮想マシン トラフィックに対するセキュリティを構成します。

    デフォルトでは、入力側および出力側のトラフィックのいずれに対しても、無差別モードの有効化と MAC アドレスの変更は許可されていません。

    オプション

    説明

    無差別モード

    • 拒否: ゲスト OS からアダプタを無差別モードで配置しても、他の仮想マシン用のフレームは受信しません。

    • 承諾: ゲスト OS からアダプタを無差別モードで配置すると、スイッチは、アダプタが接続されているポートでアクティブな VLAN ポリシーに従い、スイッチを通過する全フレームの受信をゲスト アダプタに許可します。

      ファイアウォール、ポート スキャナ、侵入検知システムなどは、無差別モードで動作する必要があります。

    MAC アドレス変更

    • 拒否MAC アドレス変更拒否 に設定した状態で、ゲスト OS がアダプタの MAC アドレスを仮想マシンの構成ファイル (.vmx) 内のアドレス以外の値に変更すると、スイッチは仮想マシン アダプタへのすべての受信フレームを破棄します。

      ゲスト OS が MAC アドレスを元に戻すと、仮想マシンはフレームを再び受信するようになります。

    • 承諾: ゲスト OS がネットワーク アダプタの MAC アドレスを変更すると、スイッチは、アダプタの新しいアドレスへのフレームが通過するのを許可します。

    偽装転送

    • 拒否: スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべて破棄します。

    • 承諾: スイッチはフィルタリングは実行せず、すべての送信フレームを許可します。

  7. OK をクリックします。