一部の MAC アドレス モードを制限することによって、レイヤー 2 攻撃から標準スイッチのトラフィックを保護できます。

各仮想マシン ネットワーク アダプタには、初期 MAC アドレスと有効な MAC アドレスがあります。

初期 MAC アドレス

初期 MAC アドレスは、アダプタの作成時に割り当てられます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト OS により変更することはできません。

有効な MAC アドレス

各アダプタには有効な MAC アドレスがあります。これは、送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワーク トラフィックをフィルタリングするために使用します。ゲスト OS は、有効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。

仮想マシン ネットワーク アダプタの作成時、有効な MAC アドレスおよび初期 MAC アドレスは同じです。ゲスト OS は、有効な MAC アドレスの値をいつでも変更できます。オペレーティング システムが有効な MAC アドレスを変更すると、そのネットワーク アダプタは、新規 MAC アドレスに送信されるネットワーク トラフィックを受信します。

ネットワーク アダプタを通してパケットを送信する場合、ゲスト OS は通常、それ自身のアダプタの有効な MAC アドレスをイーサネット フレームの送信元 MAC アドレス フィールドに置きます。受信側ネットワーク アダプタの MAC アドレスは、送信先 MAC アドレス フィールドに置きます。受信側アダプタは、パケットの送信先 MAC アドレスがそれ自身の有効な MAC アドレスに一致する場合だけパケットを受け付けます。

オペレーティング システムは、なりすましている送信元 MAC アドレスを持つフレームを送信できます。つまり、オペレーティング システムは、受信側ネットワークにより許可されているネットワーク アダプタになりすますことで、ネットワークのデバイスに対して、悪意のある攻撃を実行する可能性があります。

次のモードを制限することによって、標準スイッチを経由するトラフィックをこの種類のレイヤー 2 攻撃から保護できます。

  • 無差別モード

  • MAC アドレス変更

  • 偽装転送

ポートのデフォルト設定のいずれかを変更するには、vSphere Web Client から標準スイッチまたはポート グループのセキュリティ ポリシーを変更します。