分散ポート グループにセキュリティ ポリシーを設定すると、そのポート グループに関連付けられている仮想マシンのゲスト OS からの無差別モードの有効化と MAC アドレスの変更を許可または拒否することができます。

このタスクについて

セキュリティ ポリシーは、個々の分散ポートにも構成できます。

手順

  1. vSphere Web Client で Distributed Switch に移動します。
  2. Distributed Switch を右クリックして、分散ポート グループの管理 を選択します。
  3. セキュリティ チェック ボックスを選択し、次へ をクリックします。
  4. 構成する分散ポート グループを選択し、次へ をクリックします。
  5. ドロップダウン メニューを使ってグループのポートを通過するトラフィックのセキュリティ設定を編集し、次へ をクリックします。

    デフォルトでは、入力側および出力側のトラフィックのいずれに対しても、無差別モードの有効化と MAC アドレスの変更は許可されていません。

    オプション

    説明

    無差別モード

    • 拒否: ゲスト OS からアダプタを無差別モードで配置しても、他の仮想マシン用のフレームは受信しません。

    • 承諾: ゲスト OS からアダプタを無差別モードで配置すると、スイッチは、アダプタが接続されているポートでアクティブな VLAN ポリシーに従い、スイッチを通過する全フレームの受信をゲスト アダプタに許可します。

      ファイアウォール、ポート スキャナ、侵入検知システムなどは、無差別モードで動作する必要があります。

    MAC アドレス変更

    • 拒否MAC アドレス変更拒否 に設定した状態で、ゲスト OS がアダプタの MAC アドレスを仮想マシンの構成ファイル (.vmx) 内のアドレス以外の値に変更すると、スイッチは仮想マシン アダプタへのすべての受信フレームを破棄します。

      ゲスト OS が MAC アドレスを元に戻すと、仮想マシンはフレームを再び受信するようになります。

    • 承諾: ゲスト OS がネットワーク アダプタの MAC アドレスを変更すると、スイッチは、アダプタの新しいアドレスへのフレームが通過するのを許可します。

    偽装転送

    • 拒否: スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべて破棄します。

    • 承諾: スイッチはフィルタリングは実行せず、すべての送信フレームを許可します。

  6. 設定を確認して、終了 をクリックします。