分散ポート グループまたはアップリンク ポート グループのポートを通過するトラフィックを許可または禁止して、データを保護する方法について説明します。
手順
- vSphere Client 内で分散ポート グループまたはアップリンク ポート グループを見つけます。
- Distributed Switch を選択し、[ネットワーク] タブをクリックします。
- [分散ポート グループ] をクリックして分散ポート グループのリストを表示するか、[アップリンク ポート グループ] をクリックしてアップリンク ポート グループのリストを表示します。
- 分散ポート グループまたはアップリンク ポート グループをクリックし、[設定] タブを選択します。
- [設定] で、[トラフィックのフィルタリングとマーキング] を選択します。
- トラフィックのフィルタリングとマーキングが無効になっている場合は、[有効化と並べ替え] > [すべてのトラフィック ルールを有効化] > [OK] をクリックします。
- [追加]をクリックして新規ルールを作成するか、ルールを選択して [編集] をクリックし、ルールを編集します。
- [ネットワーク トラフィック ルール] ダイアログ ボックスの [アクション] オプションを使用して、分散ポート グループまたはアップリンク ポート グループのポートの通過をトラフィックに許可または禁止します。
- ルールを適用するトラフィックの種類を指定します。
データ フローがマーキングまたはフィルタリングされるルールの範囲内にあるかどうかを判断するため、vSphere Distributed Switch はトラフィックの方向や、ソースとターゲット、VLAN、次のレベルのプロトコル、インフラストラクチャのトラフィック タイプなどのプロパティを確認します。
- [トラフィック方向] ドロップダウン メニューで、トラフィックに入力または出力、あるいはその両方を選択すると、ルールはそれに一致するトラフィックを認識します。
トラフィック方向はトラフィックの入力と出力をどのように認識するかについても影響します。
- システム データ タイプ、レイヤー 2 のパケット属性、レイヤー 3 のパケット属性の修飾子を使用して、パケットをルールに一致させるために必要なプロパティを設定します。
修飾子はネットワーク レイヤーに関連する、一致する基準のセットを表します。システム データ タイプ、レイヤー 2 のトラフィック プロパティ、レイヤー 3 のトラフィック プロパティにトラフィックを一致させることができます。特定のネットワーク レイヤーに修飾子を使用するか、あるいは修飾子を組み合わせてより正確にパケットを一致させることができます。
- システム トラフィック修飾子を使用して、そのグループのポートを通過する仮想インフラストラクチャ データのタイプにパケットを一致させます。例えば、ネットワーク ストレージへのデータ転送に NFS を選択することができます。
- MAC トラフィック修飾子を使用して、MAC アドレス、VLAN ID、次のレベルのプロトコルでパケットを一致させます。
分散ポート グループの VLAN ID でのトラフィックの検索は、仮想ゲスト タギング(VGT)と連携して動作します。仮想スイッチ タギング(VST)がアクティブの時にトラフィックを VLAN ID と一致させるには、アップリンク ポート グループまたはアップリンク ポートのルールを使用します。
- IP トラフィック修飾子を使用して、IP バージョン、IP アドレス、次のレベルのプロトコルとポートでパケットを一致させます。
- [トラフィック方向] ドロップダウン メニューで、トラフィックに入力または出力、あるいはその両方を選択すると、ルールはそれに一致するトラフィックを認識します。
- [ルール] ダイアログ ボックスで、[OK]をクリックしてルールを保存します。