vSphere 標準スイッチでは、仮想マシンのゲスト OS での MAC アドレスの変更や無差別モードの変更を拒否するようにセキュリティ ポリシーを構成することができます。

このタスクについて

個別の標準ポート グループのセキュリティ ポリシーを構成することもできます。

手順

  1. vSphere Web Client で、ホストに移動します。
  2. 管理 タブで ネットワーク をクリックし、仮想スイッチ を選択します。
  3. リストから標準スイッチを選択して、設定の編集 をクリックします。
  4. セキュリティ を選択し、標準スイッチに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。

    デフォルトでは、入力側および出力側のトラフィックのいずれに対しても、無差別モードの有効化と MAC アドレスの変更は許可されていません。

    オプション

    説明

    無差別モード

    • 拒否: ゲスト OS からアダプタを無差別モードで配置しても、他の仮想マシン用のフレームは受信しません。

    • 承諾: ゲスト OS からアダプタを無差別モードで配置すると、スイッチは、アダプタが接続されているポートでアクティブな VLAN ポリシーに従い、スイッチを通過する全フレームの受信をゲスト アダプタに許可します。

      ファイアウォール、ポート スキャナ、侵入検知システムなどは、無差別モードで動作する必要があります。

    MAC アドレス変更

    • 拒否MAC アドレス変更拒否 に設定した状態で、ゲスト OS がアダプタの MAC アドレスを仮想マシンの構成ファイル (.vmx) 内のアドレス以外の値に変更すると、スイッチは仮想マシン アダプタへのすべての受信フレームを破棄します。

      ゲスト OS が MAC アドレスを元に戻すと、仮想マシンはフレームを再び受信するようになります。

    • 承諾: ゲスト OS がネットワーク アダプタの MAC アドレスを変更すると、スイッチは、アダプタの新しいアドレスへのフレームが通過するのを許可します。

    偽装転送

    • 拒否: スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべて破棄します。

    • 承諾: スイッチはフィルタリングは実行せず、すべての送信フレームを許可します。

  5. OK をクリックします。