分散ポート グループにセキュリティ ポリシーを設定すると、そのポート グループに関連付けられている仮想マシンのゲスト OS からの無差別モードおよび MAC アドレスの変更を許可または拒否することができます。個々のポートで分散ポート グループから継承されたセキュリティ ポリシーをオーバーライドできます。
前提条件
分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成を参照してください。
手順
- vSphere Web Client で、Distributed Switch に移動します。
- 分散ポート グループまたはポートのセキュリティ ポリシーに移動します。
オプション アクション 分散ポート グループ - [アクション] メニューから、 を選択します。
- [セキュリティ] を選択します。
- ポート グループを選択して、[次へ] をクリックします。
分散ポート - [ネットワーク] タブで、[分散ポート グループ] をクリックし、分散ポート グループをダブルクリックします。
- [ポート] タブで、ポートを選択し、[分散ポート設定を編集します] アイコンをクリックします。
- [セキュリティ] を選択します。
- オーバーライドするプロパティの横にある [オーバーライド] を選択します。
- 分散ポート グループまたはポートに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。
オプション 説明 無差別モード - [拒否]。VM ネットワーク アダプタは、仮想マシン宛のフレームのみを受信します。
- [承諾]。仮想スイッチは、VM ネットワーク アダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。
注: 無差別モードは、安全な操作ではありません。ファイアウォール、ポート スキャナ、侵入検知システムは、無差別モードで動作する必要があります。MAC アドレス変更 - [拒否]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレス(.vmx 構成ファイル内で設定)とは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。
ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。
- [承諾]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。
偽装転送 - [拒否]。スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。
- [承諾]。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。
- 設定を確認して、構成を適用します。