ESXi ホストで物理スイッチをセキュリティ強化して、ホストおよびその仮想マシンに攻撃者がアクセスできないようにします。

ホストを確実に保護するには、スパニング ツリーを無効にして物理スイッチ ポートを構成し、外部物理スイッチと仮想スイッチ タギング (VST) モードの仮想スイッチ間のトランク リンクに非ネゴシエーション オプションを構成します。

手順

  1. 物理スイッチにログインし、スパニング ツリー プロトコルが無効になっているか、ESXi ホストに接続されているすべての物理スイッチ ポートに PortFast が構成されていることを確認します。
  2. ブリッジまたはルーティングを実行する仮想マシンの場合は、BPDU ガードと PortFast を無効にし、スパニング ツリー プロトコルを有効にして、最初のアップストリーム物理スイッチ ポートが構成されていることを定期的に確認します。
    潜在的なサービス拒否 (DoS) 攻撃から物理スイッチを保護するため、 ESXi ホストでゲスト BPDU フィルタをオンにすることができます。
  3. 物理スイッチにログインし、ESXi ホストに接続されている物理スイッチ ポートで動的トランク プロトコル (DTP) が有効になっていないことを確認します。
  4. 物理スイッチ ポートを定期的に調べ、仮想スイッチの VLAN トランク ポートに接続されている場合は、トランク ポートとして正しく構成されていることを確認します。