ネットワーク セキュリティ ポリシーにより、MAC アドレスのなりすましや望ましくないポート スキャンからトラフィックを保護することができます。

標準スイッチおよび Distributed Switch のセキュリティ ポリシーは、ネットワーク プロトコル スタックのレイヤー 2(データ リンク レイヤー)に実装されます。セキュリティ ポリシーの 3 つの要素は、無差別モード、MAC アドレス変更、および偽装転送です。ネットワーク上の潜在的脅威の詳細については、『vSphere のセキュリティ』ドキュメントを参照してください。

vSphere 標準スイッチまたは標準ポート グループのセキュリティ ポリシーの構成

vSphere 標準スイッチでは、仮想マシンのゲスト OS での MAC アドレスの変更や無差別モードの変更を拒否するようにセキュリティ ポリシーを構成することができます。個々のポート グループで標準スイッチから継承されているセキュリティ ポリシーをオーバーライドできます。

手順

  1. vSphere Clientで、ホストに移動します。
  2. [構成] タブの [ネットワーク] を展開し、[仮想スイッチ] を選択します。
  3. 標準スイッチまたはポート グループのセキュリティ ポリシーに移動します。
    オプション 操作
    vSphere 標準スイッチ
    1. リストから標準スイッチを選択します。
    2. [設定の編集] をクリックします。
    3. [セキュリティ] を選択します。
    標準ポート グループ
    1. ポート グループが配置されている標準スイッチを選択します。
    2. トポロジ ダイアグラムで、標準ポート グループを選択します。
    3. [設定の編集] をクリックします。
    4. [セキュリティ] を選択し、オーバーライドするオプションの横にある [オーバーライド] を選択します。
  4. 標準スイッチまたはポート グループに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。
    オプション 説明
    無差別モード
    • [拒否]。VM ネットワーク アダプタは、仮想マシン宛のフレームのみを受信します。
    • [承諾]。仮想スイッチは、VM ネットワーク アダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。
    注: 無差別モードは、安全な操作ではありません。ファイアウォール、ポート スキャナ、侵入検知システムは、無差別モードで動作する必要があります。
    MAC アドレス変更
    • [拒否]。ゲスト OS が仮想マシンの有効な MAC アドレスを仮想マシンのネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。

      ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。

    • [承諾]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。
    偽装転送
    • [拒否]。スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。
    • [承諾]。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。
    ステータス MAC 学習機能を有効または無効にします。デフォルトは無効です。
    ユニキャスト フラッディングの許可 ポートが受信したパケットの宛先 MAC アドレスが不明な場合、パケットはドロップされます。不明なユニキャストのフラッドを有効にすると、ポートは、MAC アドレスの学習および不明なユニキャストのフラッドを有効にしているスイッチ上のすべてのポートに、不明なユニキャスト トラフィックをフラッドします。このプロパティは、MAC アドレスの学習が有効な場合、デフォルトで有効です。
    MAC の制限 学習可能な MAC アドレスの数は設定可能です。ポートあたりの最大数は 4,096 で、これがデフォルトです。
    MAC の制限ポリシー MAC の制限に達した場合のポリシー。次のオプションがあります。
    • ドロップ:不明な送信元 MAC アドレスからのパケットをドロップします。この MAC アドレスへの受信パケットは、不明なユニキャストとして扱われます。ポートは、不明なユニキャストのフラッドが有効になっている場合にのみ、パケットを受信します。
    • 許可:不明な送信元 MAC アドレスは学習されませんが、このアドレスからのパケットは転送されます。この MAC アドレスへの受信パケットは、不明なユニキャストとして扱われます。ポートは、不明なユニキャストのフラッドが有効になっている場合にのみ、パケットを受信します。
  5. [OK] をクリックします。

分散ポート グループまたは分散ポートのセキュリティ ポリシーの構成

分散ポート グループにセキュリティ ポリシーを設定して、そのポート グループに関連付けられている仮想マシンのゲスト OS からの無差別モードおよび MAC アドレスの変更を許可または拒否する方法について説明します。個々のポートで分散ポート グループから継承されたセキュリティ ポリシーをオーバーライドできます。

前提条件

分散ポート レベルでポリシーをオーバーライドするには、このポリシーのポートレベルのオーバーライド オプションを有効にします。ポート レベルでのネットワーク ポリシーのオーバーライドの構成を参照してください。

手順

  1. vSphere Client のホーム画面で、[ネットワーク] をクリックし、Distributed Switch に移動します。
  2. 分散ポート グループまたはポートのセキュリティ ポリシーに移動します。
    オプション 操作
    分散ポート グループ
    1. [アクション] メニューから、[分散ポート グループ] > [分散ポート グループの管理] を選択します。
    2. [セキュリティ] を選択し、[次へ] をクリックします。
    3. ポート グループを選択して、[次へ] をクリックします。
    分散ポート
    1. [ネットワーク] タブで、[分散ポート グループ] をクリックし、分散ポート グループをダブルクリックします。
    2. [ポート] タブでポートを選択し、[設定の編集] アイコンをクリックします。
    3. [セキュリティ] を選択します。
    4. オーバーライドするプロパティの横にある [オーバーライド] を選択します。
  3. 分散ポート グループまたはポートに接続されている仮想マシンのゲスト OS での無差別モードの有効化および MAC アドレスの変更を拒否または承諾します。
    オプション 説明
    無差別モード
    • [拒否]。VM ネットワーク アダプタは、仮想マシン宛のフレームのみを受信します。
    • [承諾]。仮想スイッチは、VM ネットワーク アダプタが接続されているポートのアクティブな VLAN ポリシーに従ってすべてのフレームを仮想マシンに転送します。
    注: 無差別モードは、安全な操作ではありません。ファイアウォール、ポート スキャナ、侵入検知システムは、無差別モードで動作する必要があります。
    MAC アドレス変更
    • [拒否]。ゲスト OS が仮想マシンの有効な MAC アドレスを仮想マシンのネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチはアダプタへのすべての受信フレームをドロップします。

      ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスに戻すと、仮想マシンは再びフレームを受信します。

    • [承諾]。ゲスト OS が仮想マシンの有効な MAC アドレスを VM ネットワーク アダプタの MAC アドレスとは異なる値に変更すると、スイッチは新しいアドレスへのフレームの通過を許可します。
    偽装転送
    • [拒否]。スイッチは、仮想マシン アダプタからの送信フレームのうち、.vmx 構成ファイル内の送信元 MAC アドレスと異なるアドレスを持つフレームをすべてドロップします。
    • [承諾]。スイッチはフィルタリングを実行せず、すべての送信フレームを許可します。
    ステータス MAC 学習機能を有効または無効にします。デフォルトは無効です。
    ユニキャスト フラッディングの許可 ポートが受信したパケットの宛先 MAC アドレスが不明な場合、パケットはドロップされます。不明なユニキャストのフラッドを有効にすると、ポートは、MAC アドレスの学習および不明なユニキャストのフラッドを有効にしているスイッチ上のすべてのポートに、不明なユニキャスト トラフィックをフラッドします。このプロパティは、MAC アドレスの学習が有効な場合、デフォルトで有効です。
    MAC の制限 学習可能な MAC アドレスの数は設定可能です。ポートあたりの最大数は 4,096 で、これがデフォルトです。
    MAC の制限ポリシー MAC の制限に達した場合のポリシー。次のオプションがあります。
    • ドロップ:不明な送信元 MAC アドレスからのパケットをドロップします。この MAC アドレスへの受信パケットは、不明なユニキャストとして扱われます。ポートは、不明なユニキャストのフラッドが有効になっている場合にのみ、パケットを受信します。
    • 許可:不明な送信元 MAC アドレスは学習されませんが、このアドレスからのパケットは転送されます。この MAC アドレスへの受信パケットは、不明なユニキャストとして扱われます。ポートは、不明なユニキャストのフラッドが有効になっている場合にのみ、パケットを受信します。
  4. 設定を確認して、構成を適用します。