ルールによってトラフィックを許可または停止して、仮想マシン、VMkernel アダプタ、物理アダプタを経由するデータ フローをセキュリティ保護します。

前提条件

分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成を参照してください。

手順

  1. Distributed Switch に移動し、分散ポートまたはアップリンク ポートに移動します。
    • スイッチの分散ポートに移動するには、[ネットワーク] > [分散ポート グループ] をクリックし、リスト内の分散ポート グループをクリックして、[ポート] タブをクリックします。
    • アップリンク ポート グループのアップリンク ポートに移動するには、[ネットワーク] > [アップリンク ポート グループ] の順にクリックし、リストのアップリンク ポート グループをクリックして、[ポート] タブをクリックします。
  2. リストからポートを選択します。
  3. [トラフィックのフィルタリングとマーキング] タブを選択します。
  4. ポート レベルでトラフィックのフィルタリングとマーキングが有効になっていない場合は、[有効にして並べ替え] ボタンをクリックし、デフォルト設定をオーバーライドして、[すべてのトラフィック ルールを有効化] をクリックします。
    グループ レベルでトラフィック ルールが有効になっている場合、ポートのデフォルト設定をオーバーライドすると、トラフィック ルールが自動的に有効になります。
  5. [追加]をクリックして新規ルールを作成するか、ルールを選択して [編集] をクリックし、ルールを編集します。
    分散ポート グループまたはアップリンク ポート グループから継承したルールを変更できます。この方法では、ルールはポートの範囲内で固有になります。
  6. [ネットワーク トラフィック ルール] ダイアログ ボックスで、トラフィックが分散ポートまたはアップリンク ポートを通過するのを許可する場合は [許可] アクションを選択し、制限する場合は [ドロップ] アクションを選択します。
  7. ルールを適用するトラフィックの種類を指定します。
    データ フローがマーキングまたはフィルタリングされるルールの範囲内にあるかどうかを判断するため、vSphere Distributed Switch はトラフィックの方向や、ソースとターゲット、VLAN、次のレベルのプロトコル、インフラストラクチャのトラフィック タイプなどのプロパティを確認します。
    1. [トラフィック方向] ドロップダウン メニューで、トラフィックに入力または出力、あるいはその両方を選択すると、ルールはそれに一致するトラフィックを認識します。

      トラフィック方向はトラフィックの入力と出力をどのように認識するかについても影響します。

    2. システム データ タイプ、レイヤー 2 のパケット属性、レイヤー 3 のパケット属性の修飾子を使用して、パケットをルールに一致させるために必要なプロパティを設定します。

      修飾子はネットワーク レイヤーに関連する、一致する基準のセットを表します。システム データ タイプ、レイヤー 2 のトラフィック プロパティ、レイヤー 3 のトラフィック プロパティにトラフィックを一致させることができます。特定のネットワーク レイヤーに修飾子を使用するか、あるいは修飾子を組み合わせてより正確にパケットを一致させることができます。

      • システム トラフィック修飾子を使用して、そのグループのポートを通過する仮想インフラストラクチャ データのタイプにパケットを一致させます。例えば、ネットワーク ストレージへのデータ転送に NFS を選択することができます。
      • MAC トラフィック修飾子を使用して、MAC アドレス、VLAN ID、次のレベルのプロトコルでパケットを一致させます。

        分散ポート グループの VLAN ID でのトラフィックの検索は、仮想ゲスト タギング(VGT)と連携して動作します。仮想スイッチ タギング(VST)がアクティブの時にトラフィックを VLAN ID と一致させるには、アップリンク ポート グループまたはアップリンク ポートのルールを使用します。

      • IP トラフィック修飾子を使用して、IP バージョン、IP アドレス、次のレベルのプロトコルとポートでパケットを一致させます。
  8. [ルール] ダイアログ ボックスで、[OK]をクリックしてルールを保存します。