分散ポート グループにセキュリティ ポリシーを設定すると、そのポート グループに関連付けられている仮想マシンのゲスト OS からの無差別モードおよび MAC アドレスの変更を許可または拒否することができます。個々のポートで分散ポート グループから継承されたセキュリティ ポリシーをオーバーライドできます。

前提条件

分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成を参照してください。

手順

  1. vSphere Client のホーム画面で、[ネットワーク] をクリックし、Distributed Switch に移動します。
  2. 分散ポート グループまたはポートのセキュリティ ポリシーに移動します。
    オプション 操作
    分散ポート グループ
    1. [アクション] メニューから、[分散ポート グループ] > [分散ポート グループの管理] を選択します。
    2. [セキュリティ] を選択し、[次へ] をクリックします。
    3. ポート グループを選択して、[次へ] をクリックします。
    分散ポート
    1. [ネットワーク] タブで、[分散ポート グループ] をクリックし、分散ポート グループをダブルクリックします。
    2. [ポート] タブでポートを選択し、[設定の編集] アイコンをクリックします。
    3. [セキュリティ] を選択します。
    4. オーバーライドするプロパティの横にある [オーバーライド] を選択します。
  3. 分散ポート グループまたはポートに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。
    オプション 説明
    無差別モード
    • [拒否]。VM ネットワーク アダプタは、仮想マシン宛のフレームのみを受信します。
    • [承諾]。仮想スイッチは、VM ネットワーク アダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。
    注: 無差別モードは、安全な操作ではありません。ファイアウォール、ポート スキャナ、侵入検知システムは、無差別モードで動作する必要があります。
    MAC アドレス変更
    • [拒否]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレス(.vmx 構成ファイル内で設定)とは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。

      ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。

    • [承諾]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。
    偽装転送
    • [拒否]。スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。
    • [承諾]。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。
  4. 設定を確認して、構成を適用します。