標準スイッチのトラフィックは、仮想マシン ネットワーク アダプタの MAC アドレス モードの一部を制限することで、レイヤー 2 攻撃から保護できます。
各仮想マシン ネットワーク アダプタには、初期 MAC アドレスと有効な MAC アドレスがあります。
- 初期 MAC アドレス
- 初期 MAC アドレスは、アダプタの作成時に割り当てられます。初期 MAC アドレスは、ゲスト OS の外部から再構成できますが、ゲスト OS により変更することはできません。
- 有効な MAC アドレス
- 各アダプタには有効な MAC アドレスがあります。これは、送信先 MAC アドレスが有効な MAC アドレスとは異なる着信ネットワーク トラフィックをフィルタリングするために使用します。ゲスト OS は、有効な MAC アドレスの設定に関与し、通常、有効な MAC アドレスを初期 MAC アドレスに一致させます。
仮想マシン ネットワーク アダプタの作成時、有効な MAC アドレスおよび初期 MAC アドレスは同じです。ゲスト OS は、有効な MAC アドレスの値をいつでも変更できます。オペレーティング システムが有効な MAC アドレスを変更すると、そのネットワーク アダプタは、新規 MAC アドレスに送信されるネットワーク トラフィックを受信します。
ネットワーク アダプタを通してパケットを送信する場合、ゲスト OS は通常、それ自身のアダプタの有効な MAC アドレスをイーサネット フレームの送信元 MAC アドレス フィールドに置きます。受信側ネットワーク アダプタの MAC アドレスは、送信先 MAC アドレス フィールドに置きます。受信側アダプタは、パケットの送信先 MAC アドレスがそれ自身の有効な MAC アドレスに一致する場合だけパケットを受け付けます。
オペレーティング システムは、なりすましている送信元 MAC アドレスを持つフレームを送信できます。そのため、オペレーティング システムは、受信側ネットワークが許可するネットワーク アダプタになりすまし、ネットワーク内のデバイスに対して悪意のある攻撃を実行できます。
ポート グループまたはポートでセキュリティ ポリシーを構成して、なりすましやレイヤー 2 攻撃に対して仮想トラフィックを保護します。
分散ポート グループおよびポートのセキュリティ ポリシーには、次のオプションがあります。
- MAC アドレス変更 (MAC アドレス変更 を参照)
- プロミスキャス モード (無差別モード操作 を参照)
- 偽装転送 (偽装転送 を参照)
デフォルトの設定は、ホストに関連付けられている仮想スイッチを vSphere Client から選択することにより、表示および変更できます。vSphere のネットワーク ドキュメントを参照してください。
