ルールによってトラフィックを許可または停止して、仮想マシン、VMkernel アダプタ、物理アダプタを経由するデータ フローをセキュリティ保護します。

前提条件

分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成を参照してください。

手順

  1. Distributed Switch に移動し、分散ポートまたはアップリンク ポートに移動します。
    • スイッチの分散ポートに移動するには、[ネットワーク] > [分散ポート グループ] をクリックし、リスト内の分散ポート グループをダブルクリックして、[ポート] タブをクリックします。
    • アップリンク ポート グループのアップリンク ポートに移動するには、[ネットワーク] > [アップリンク ポート グループ] の順にクリックし、リストのアップリンク ポート グループをダブルクリックして、[ポート] タブをクリックします。
  2. リストからポートを選択します。
  3. [分散ポート設定を編集します] をクリックします。
  4. ポート レベルでトラフィックのフィルタリングとマーキングが無効の場合、[オーバーライド]をクリックし、[ステータス]ドロップダウン メニューから [有効]を選択します。
  5. [新規] をクリックして新規ルールを作成するか、ルールを選択して [編集] をクリックし、ルールを編集します。
    分散ポート グループまたはアップリンク ポート グループから継承したルールを変更できます。この方法では、ルールはポートの範囲内で固有になります。
  6. [ネットワーク トラフィック ルール] ダイアログ ボックスで、トラフィックが分散ポートまたはアップリンク ポートを通過するのを許可する場合は [許可] アクションを選択し、制限する場合は [ドロップ] アクションを選択します。
  7. ルールを適用するトラフィックの種類を指定します。
    データ フローがマーキングまたはフィルタリングされるルールの範囲内にあるかどうかを判断するため、vSphere Distributed Switch はトラフィックの方向や、ソースとターゲット、VLAN、次のレベルのプロトコル、インフラストラクチャのトラフィック タイプなどのプロパティを確認します。
    1. [トラフィック方向] ドロップダウン メニューで、トラフィックに入力または出力、あるいはその両方を選択すると、ルールはそれに一致するトラフィックを認識します。

      トラフィック方向はトラフィックの入力と出力をどのように認識するかについても影響します。

    2. システム データ タイプ、レイヤー 2 のパケット属性、レイヤー 3 のパケット属性の修飾子を使用して、パケットをルールに一致させるために必要なプロパティを設定します。

      修飾子はネットワーク レイヤーに関連する、一致する基準のセットを表します。システム データ タイプ、レイヤー 2 のトラフィック プロパティ、レイヤー 3 のトラフィック プロパティにトラフィックを一致させることができます。特定のネットワーク レイヤーに修飾子を使用するか、あるいは修飾子を組み合わせてより正確にパケットを一致させることができます。

      • システム トラフィック修飾子を使用して、そのグループのポートを通過する仮想インフラストラクチャ データのタイプにパケットを一致させます。例えば、ネットワーク ストレージへのデータ転送に NFS を選択することができます。
      • MAC トラフィック修飾子を使用して、MAC アドレス、VLAN ID、次のレベルのプロトコルでパケットを一致させます。

        分散ポート グループの VLAN ID でのトラフィックの検索は、仮想ゲスト タギング(VGT)と連携して動作します。仮想スイッチ タギング(VST)がアクティブの時にトラフィックを VLAN ID と一致させるには、アップリンク ポート グループまたはアップリンク ポートのルールを使用します。

      • IP トラフィック修飾子を使用して、IP バージョン、IP アドレス、次のレベルのプロトコルとポートでパケットを一致させます。
  8. [ルール] ダイアログ ボックスで、[OK]をクリックしてルールを保存します。