VM에 설치된 VMware Tools나 DHCP 스누핑 또는 ARP 스누핑은 가상 시스템의 IP 주소를 감지할 수 있습니다. 동일한 NSX 설치에서 이러한 IP 검색 방법을 함께 사용할 수 있습니다.

IP 감지 유형은 글로벌 수준 또는 호스트 클러스터 수준에서 지정할 수 있습니다. 일반적으로 보안 관리자 및 보안 엔지니어 역할이 있는 사용자는 글로벌 수준에서 IP 감지 유형을 지정하는 것이 좋습니다. 검색된 VM IP 주소를 사용하여 SpoofGuard 정책 및 분산 방화벽 정책을 구성합니다.

일반적으로 엔터프라이즈 관리자 역할이 있는 사용자는 전체 가상 네트워크를 보다 포괄적으로 볼 수 있으며 호스트 클러스터 수준에서 설정을 편집하여 IP 감지 유형을 제어하는 것이 좋습니다. 호스트 클러스터 수준의 IP 감지 설정은 글로벌 수준에서 지정된 설정을 재정의합니다.

프로시저

  1. IP 감지 유형 변경 페이지로 이동합니다.
    IP 감지 수준 단계
    글로벌 IP 감지
    1. 네트워킹 및 보안 > 보안 > SpoofGuard로 이동합니다.
    2. IP 감지 유형 옆에 있는 톱니 바퀴 아이콘을 클릭합니다.
    호스트 클러스터 IP 감지
    1. 네트워킹 및 보안 > 설치 및 업그레이드 > 호스트 준비로 이동합니다.
    2. IP 감지 유형을 변경할 클러스터를 클릭한 다음, 작업 > IP 감지 유형 변경을 클릭합니다.
  2. 원하는 IP 감지 유형을 선택하고 저장(Save) 또는 확인(OK)을 클릭합니다.
    IP 감지 유형 설명
    DHCP 스누핑 NSX는 DHCP 스누핑 항목을 읽어 네트워크에 있는 VM의 IP 주소를 감지합니다.
    ARP 스누핑 NSX는 ARP 스누핑 메커니즘을 사용하여 VM의 IP 주소를 감지합니다.
    권장 사항: ARP 스누핑을 사용할 때 IP 주소를 감지하도록 SpoofGuard를 구성합니다. SpoofGuard는 ARP 포이즌 공격으로부터 네트워크를 보호하는 데 도움이 됩니다.
  3. ARP 스누핑을 선택한 경우 vNIC당, VM당 검색해야 하는 최대 ARP IP 주소를 입력합니다. 기본값은 1입니다.
    ARP 스누핑는 VM당, vNIC당 최대 128개 IP 주소를 감지할 수 있습니다. 유효한 값 범위는 1 ~ 128입니다. 예를 들어 값 5를 지정하는 경우 VM당, vNIC당 최대 처음 5개의 IP 주소가 감지됩니다.

    ARP 스누핑을 사용하여 검색된 IP 주소는 자동으로 제거되지 않습니다. 즉, ARP 스누핑을 사용하여 감지된 vNIC IP 주소에는 시간 초과가 없습니다.

다음에 수행할 작업

  • ARP 스누핑을 사용하도록 설정한 경우 ARP 포이즌 공격으로부터 네트워크를 보호하도록 SpoofGuard를 구성하는 옵션을 고려하십시오.
  • 기본 방화벽 규칙을 구성합니다.