관리자는 여러 가지 옵션을 통해 vSphere 환경에서 vSphere Distributed Switch를 보호할 수 있습니다.

프로시저

  1. 정적 바인딩을 사용하는 분산 포트 그룹의 경우 자동 확장 기능을 사용하지 않도록 설정합니다.

    자동 확장은 vSphere 5.1 이상에서 기본적으로 사용하도록 설정되어 있습니다.

    자동 확장을 사용하지 않도록 설정하려면 vSphere Web Services SDK 또는 명령줄 인터페이스를 사용하여 분산 포트 그룹 아래의 autoExpand 속성을 구성합니다. vSphere Web Services SDK 설명서를 참조하십시오.

  2. vSphere Distributed Switch의 모든 전용 VLAN ID가 완전히 문서화되었는지 확인합니다.
  3. dvPortgroup에서 VLAN 태그 지정을 사용하는 경우 VLAN ID가 외부 VLAN 인식 업스트림 스위치의 ID와 일치해야 합니다. VLAN ID가 올바르게 추적되지 않는 경우 잘못된 ID 재사용이 의도치 않은 트래픽을 허용할 수 있습니다. 마찬가지로 VLAN ID가 잘못되었거나 누락된 경우 물리적 시스템과 가상 시스템 간에 트래픽이 통과하지 않을 수 있습니다.
  4. vSphere Distributed Switch와 연결된 가상 포트 그룹에 사용되지 않는 포트가 없는지 확인합니다.
  5. 모든 vSphere Distributed Switch의 레이블을 지정합니다.

    ESXi 호스트와 연결된 vSphere Distributed Switch는 스위치 이름을 위한 텍스트 상자가 필요합니다. 이 레이블은 물리적 스위치에 연결된 호스트 이름과 마찬가지로 스위치의 기능 설명자 역할을 합니다. vSphere Distributed Switch의 레이블은 스위치의 기능 또는 IP 서브넷을 나타냅니다. 예를 들어 스위치의 레이블을 내부로 지정하면 스위치가 가상 시스템의 전용 가상 스위치에서 내부 네트워킹용으로만 사용됨을 나타냅니다. 트래픽은 물리적 네트워크 어댑터를 거치지 않습니다.

  6. 현재 사용하지 않는 경우 vSphere Distributed Switch의 네트워크 상태 점검은 사용하지 않도록 설정합니다.

    네트워크 상태 점검은 기본적으로 사용하지 않도록 설정되어 있습니다. 사용하도록 설정되면 상태 점검 패킷에 공격자가 잠재적으로 사용할 수 있는 호스트, 스위치 및 포트에 대한 정보가 포함됩니다. 문제 해결을 위해서만 네트워크 상태 점검을 사용하고 문제 해결이 완료되면 끄십시오.

  7. 포트 그룹 또는 포트에 보안 정책을 구성하여 가상 트래픽을 가장 및 가로채기 계층 2 공격으로부터 보호합니다.

    분산 포트 그룹 및 포트의 보안 정책에는 다음 옵션이 포함됩니다.

    분산 스위치의 마우스 오른쪽 버튼 메뉴에서 분산 포트 그룹 관리를 선택하고 마법사에서 보안을 선택하여 현재 설정을 보고 변경할 수 있습니다. vSphere 네트워킹 설명서를 참조하십시오.