VPN クライアントを実行する仮想マシンが、ホスト上の仮想マシンまたは vSphere HA クラスタ全体にわたってサービスを拒否する

BPDU （Bridge Protocol Data Unit）フレーム（たとえば VPN クライアント）を送信する仮想マシンによって、同じポートグループに接続する一部の仮想マシンの接続が失われることがあります。BPDU フレームの転送によってホストまたは親の vSphere HA クラスタの接続が切断される場合もあります。

問題

BPDU フレームを送信する仮想マシンにより、同じポートグループ内の仮想マシンの外部ネットワークへのトラフィックが遮断されます。

vSphere HA クラスタの一部であるホストで仮想マシンが実行され、ホストが特定の状況下でネットワークから隔離されていた場合、クラスタ内のホストでサービス拒否（DoS）が発生します。

原因

ベストプラクティスとして、ESXi ホストに接続している物理スイッチポートで Port Fast および BPDU ガードを有効にしてスパニングツリープロトコル（STP）の境界を強化します。標準スイッチまたは Distributed Switch は STP をサポートしていないため、BPDU フレームをスイッチポートに送信することはありません。ただし、侵害された仮想マシンからの BPDU フレームが ESXi ホストに接している物理スイッチポートに到達した場合、BPDU ガード機能はポートを無効にして、フレームがネットワークのスパニングツリートポロジに影響を与えないようにします。

仮想マシンが BPDU フレームを送信することが想定されていることがあります。たとえば、Windows のブリッジデバイスまたはブリッジ機能を介して接続された VPN をデプロイするときなどです。仮想マシンからのトラフィックを処理する物理アダプタとペアになった物理スイッチポートで BPDU ガードが有効な場合、ポートはエラーにより無効となり、ホストの物理アダプタを使用する仮想マシンと VMkernel アダプタは外部ネットワークと通信できなくなります。

ポートグループのチーミングおよびフェイルオーバーポリシーにより多くのアクティブなアップリンクがある場合は、BPDU トラフィックは次にアクティブなアップリンクのアダプタに移動します。新しい物理スイッチポートが無効になり、より多くのワークロードでネットワークとパケットを交換できなくなります。最終的に、ESXi ホストのほとんどすべてのエンティティにアクセスできなくなることがあります。

vSphere HA クラスタの一部であるホストで仮想マシンが実行されている場合に、ホストに接続している物理スイッチポートのほとんどが無効であるためにホストがネットワークから隔離されると、クラスタのアクティブなプライマリホストは BPDU を送信している仮想マシンを別のホストに移動します。仮想マシンは新しいホストに接続された物理スイッチポートの無効化を開始します。最終的に、vSphere HA クラスタ内の移行はクラスタ全体の DoS の累積につながります。

解決方法

VPN ソフトウェアが仮想マシンでの動作を継続する必要がある場合、仮想マシンから送信されるトラフィックを許可し、物理スイッチポートを個別に構成して BPDU フレームを通過するようにします。

ネットワークデバイス	構成
Distributed Switch または標準スイッチ	ポートグループの [偽装転送] セキュリティプロパティを [承諾] に設定して、BPDU フレームがホストから離脱して物理スイッチポートに到達できるようにします。仮想マシンを分離されたポートグループに配置し、グループに物理アダプタを割り当てることによって、VPN トラフィックの設定と物理アダプタを隔離できます。注意： [偽装転送] セキュリティプロパティを [承諾] に設定してホストで BPDU フレームを送信可能にすると、侵害された仮想マシンでなりすまし攻撃を実行できるようになるため、セキュリティ上のリスクが生じます。
物理スイッチ	Port Fast を有効のままにします。各ポートの BPDU フィルタを有効にします。BPDU フレームがポートに到達すると、除外されます。注： BPDU フィルタをグローバルに有効にしないでください。BPDU フィルタをグローバルに有効にすると、Port Fast モードが無効になり、すべての物理スイッチポートがすべての STP 機能セットを実行します。

ネットワークデバイス

構成

Distributed Switch または標準スイッチ

ポートグループの [偽装転送] セキュリティプロパティを [承諾] に設定して、BPDU フレームがホストから離脱して物理スイッチポートに到達できるようにします。

仮想マシンを分離されたポートグループに配置し、グループに物理アダプタを割り当てることによって、VPN トラフィックの設定と物理アダプタを隔離できます。

注意： [偽装転送] セキュリティプロパティを [承諾] に設定してホストで BPDU フレームを送信可能にすると、侵害された仮想マシンでなりすまし攻撃を実行できるようになるため、セキュリティ上のリスクが生じます。

物理スイッチ

Port Fast を有効のままにします。
各ポートの BPDU フィルタを有効にします。BPDU フレームがポートに到達すると、除外されます。

注： BPDU フィルタをグローバルに有効にしないでください。BPDU フィルタをグローバルに有効にすると、Port Fast モードが無効になり、すべての物理スイッチポートがすべての STP 機能セットを実行します。

同じレイヤー 2 ネットワークに接続する 2 つの仮想マシン NIC の間にブリッジデバイスをデプロイするには、仮想マシンから送信される BPDU トラフィックを許可し、Port Fast および BPDU のループ防止機能を無効にします。

ネットワークデバイス	構成
Distributed Switch または標準スイッチ	ポートグループのセキュリティポリシーの [偽装転送] プロパティを [承諾] に設定して、BPDU フレームがホストから離脱して物理スイッチポートに到達できるようにします。仮想マシンを分離されたポートグループに配置し、グループに物理アダプタを割り当てることによって、ブリッジトラフィックの設定と 1 つ以上の物理アダプタを隔離できます。注意： [偽装転送] セキュリティプロパティを [承諾] に設定してブリッジをデプロイ可能にすると、侵害された仮想マシンでなりすまし攻撃を実行できるようになるため、セキュリティ上のリスクが生じます。
物理スイッチ	仮想ブリッジデバイスへのポートで STP を実行するために Port Fast を無効にします。ブリッジデバイスに接したポートでの BPDU ガードおよびフィルタを無効にします。

ネットワークデバイス

構成

Distributed Switch または標準スイッチ

ポートグループのセキュリティポリシーの [偽装転送] プロパティを [承諾] に設定して、BPDU フレームがホストから離脱して物理スイッチポートに到達できるようにします。

仮想マシンを分離されたポートグループに配置し、グループに物理アダプタを割り当てることによって、ブリッジトラフィックの設定と 1 つ以上の物理アダプタを隔離できます。

注意： [偽装転送] セキュリティプロパティを [承諾] に設定してブリッジをデプロイ可能にすると、侵害された仮想マシンでなりすまし攻撃を実行できるようになるため、セキュリティ上のリスクが生じます。

物理スイッチ

仮想ブリッジデバイスへのポートで STP を実行するために Port Fast を無効にします。
ブリッジデバイスに接したポートでの BPDU ガードおよびフィルタを無効にします。

ESXi ホストまたは物理スイッチ上で BPDU フィルタをアクティブ化することによって、いかなる場合でも DoS 攻撃から環境を保護します。

ゲスト BPDU フィルタが実装されていないホスト上で、仮想ブリッジデバイスへの物理スイッチポートの BPDU フィルタを有効にします。

ネットワークデバイス	構成
Distributed Switch または標準スイッチ	ポートグループのセキュリティポリシーの [偽装転送] プロパティを [拒否] に設定します。
物理スイッチ	Port Fast の構成をそのままにします。各物理スイッチポートの BPDU フィルタを有効にします。BPDU フレームが物理ポートに到達すると、除外されます。注： BPDU フィルタをグローバルに有効にしないでください。BPDU フィルタをグローバルに有効にすると、Port Fast モードが無効になり、すべての物理スイッチポートがすべての STP 機能セットを実行します。

ネットワークデバイス

構成

Distributed Switch または標準スイッチ

ポートグループのセキュリティポリシーの [偽装転送] プロパティを [拒否] に設定します。

物理スイッチ

Port Fast の構成をそのままにします。
各物理スイッチポートの BPDU フィルタを有効にします。BPDU フレームが物理ポートに到達すると、除外されます。