分散ポート グループにセキュリティ ポリシーを設定すると、そのポート グループに関連付けられている仮想マシンのゲスト OS からの無差別モードおよび MAC アドレスの変更を許可または拒否することができます。個々のポートで分散ポート グループから継承されたセキュリティ ポリシーをオーバーライドできます。

前提条件

分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成 を参照してください。

手順

  1. vSphere Web Client で、Distributed Switch に移動します。
  2. 分散ポート グループまたはポートのセキュリティ ポリシーに移動します。

    オプション

    アクション

    分散ポート グループ

    1. アクション メニューから、分散ポート グループ > 分散ポート グループの管理 を選択します。

    2. セキュリティ を選択します。

    3. ポート グループを選択して、次へ をクリックします。

    分散ポート

    1. ネットワーク タブで、分散ポート グループ をクリックし、分散ポート グループをダブルクリックします。

    2. ポート タブで、ポートを選択し、分散ポート設定を編集します アイコンをクリックします。

    3. セキュリティ を選択します。

    4. オーバーライドするプロパティの横にある オーバーライド を選択します。

  3. 分散ポート グループまたはポートに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。

    オプション

    説明

    無差別モード

    • 拒否。VM ネットワーク アダプタは、仮想マシン宛のフレームのみを受信します。

    • 承諾。仮想スイッチは、VM ネットワーク アダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。

    注:

    無差別モードは、安全な操作ではありません。ファイアウォール、ポート スキャナ、侵入検知システムは、無差別モードで動作する必要があります。

    MAC アドレス変更

    • 拒否。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレス(.vmx 構成ファイル内で設定)とは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。

      ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。

    • 承諾。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。

    偽装転送

    • 拒否。スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。

    • 承諾。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。

  4. 設定を確認して、構成を適用します。