分散ポートグループまたは分散ポートのセキュリティポリシーの構成

分散ポートグループにセキュリティポリシーを設定すると、そのポートグループに関連付けられている仮想マシンのゲスト OS からの無差別モードおよび MAC アドレスの変更を許可または拒否することができます。個々のポートで分散ポートグループから継承されたセキュリティポリシーをオーバーライドできます。

前提条件

分散ポートレベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライドオプションを有効にします。ポートレベルでのネットワークポリシーのオーバーライドの構成を参照してください。

手順

vSphere Web Client で、Distributed Switch に移動します。

分散ポートグループまたはポートのセキュリティポリシーに移動します。

オプション	アクション
分散ポートグループ	[アクション] メニューから、[分散ポートグループ] > [分散ポートグループの管理] を選択します。 [セキュリティ] を選択します。ポートグループを選択して、[次へ] をクリックします。
分散ポート	[ネットワーク] タブで、[分散ポートグループ] をクリックし、分散ポートグループをダブルクリックします。 [ポート] タブで、ポートを選択し、[分散ポート設定を編集します] アイコンをクリックします。 [セキュリティ] を選択します。オーバーライドするプロパティの横にある [オーバーライド] を選択します。

オプション

アクション

分散ポートグループ

[アクション] メニューから、[分散ポートグループ] > [分散ポートグループの管理] を選択します。
[セキュリティ] を選択します。
ポートグループを選択して、[次へ] をクリックします。

分散ポート

[ネットワーク] タブで、[分散ポートグループ] をクリックし、分散ポートグループをダブルクリックします。
[ポート] タブで、ポートを選択し、[分散ポート設定を編集します] アイコンをクリックします。
[セキュリティ] を選択します。
オーバーライドするプロパティの横にある [オーバーライド] を選択します。

分散ポートグループまたはポートに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。

オプション	説明
無差別モード	[拒否]。VM ネットワークアダプタは、仮想マシン宛のフレームのみを受信します。 [承諾]。仮想スイッチは、VM ネットワークアダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。注：無差別モードは、安全な操作ではありません。ファイアウォール、ポートスキャナ、侵入検知システムは、無差別モードで動作する必要があります。
MAC アドレス変更	[拒否]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワークアダプタの MAC アドレス（.vmx 構成ファイル内で設定）とは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワークアダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。 [承諾]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワークアダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。
偽装転送	[拒否]。スイッチは、仮想マシンアダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。 [承諾]。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。

設定を確認して、構成を適用します。