VPN 클라이언트와 같이 BPDU(Bridge Protocol Data Unit) 프레임을 보내는 가상 시스템으로 인해 동일한 포트 그룹에 연결된 일부 가상 시스템의 연결이 끊어질 수 있습니다. 또한 BPDU 프레임 전송으로 인해 호스트 또는 상위 vSphere HA 클러스터의 연결이 끊어질 수도 있습니다.

프로시저

  • VPN 소프트웨어를 가상 시스템에서 계속 작동해야 할 경우 가상 시스템에서 내보내는 트래픽을 허용하고 BPDU 프레임을 통과시키도록 물리적 스위치 포트를 개별적으로 구성해야 합니다.

    네트워크 디바이스

    구성

    Distributed Switch 또는 표준 스위치

    포트 그룹의 위조 전송 보안 속성을 동의로 설정하여 BPDU 프레임이 호스트에서 출발해서 물리적 스위치 포트에 도달하도록 허용합니다.

    가상 시스템을 별도의 포트 그룹에 배치하고 물리적 어댑터를 해당 그룹에 할당하는 방식으로 VPN 트래픽에 대한 설정 및 물리적 어댑터를 분리할 수 있습니다.

    주의:

    위조 전송 보안 속성을 동의로 설정하여 호스트가 BPDU 프레임을 전송하도록 하면 손상된 가상 시스템이 스푸핑 공격을 수행할 수 있기 때문에 보안 위험이 야기됩니다.

    물리적 스위치

    • PortFast를 사용하도록 설정된 상태로 유지합니다.

    • 개별 포트에서 BPDU 필터를 사용하도록 설정합니다. BPDU 프레임이 해당 포트에 도착하면 필터링됩니다.

    참고:

    BPDU 필터를 전체적으로 사용하도록 설정하지 마십시오. BPDU 필터를 전체적으로 사용하도록 설정하면 PortFast 모드가 사용하지 않도록 설정되고 모든 물리적 스위치 포트가 전체 STP 기능 집합을 수행합니다.

  • 동일한 계층 2 네트워크에 연결된 두 가상 시스템 NIC 간에 브리지 디바이스를 배포하려면 가상 시스템에서 BPDU 트래픽을 허용하고 PortFast 및 BPDU 루프 방지 기능을 비활성화해야 합니다.

    네트워크 디바이스

    구성

    Distributed Switch 또는 표준 스위치

    포트 그룹에 대한 보안 정책의 위조 전송 속성을 동의로 설정하여 BPDU 프레임이 호스트에서 출발해서 물리적 스위치 포트에 도달하도록 허용합니다.

    가상 시스템을 별도의 포트 그룹에 배치하고 물리적 어댑터를 해당 그룹에 할당하는 방식으로 브리지 트래픽에 대한 설정 및 하나 이상의 물리적 어댑터를 분리할 수 있습니다.

    주의:

    위조 전송 보안 속성을 동의로 설정하여 브리지 배포를 활성화하면 손상된 가상 시스템이 스푸핑 공격을 수행할 수 있기 때문에 보안 위험이 야기됩니다.

    물리적 스위치

    • 가상 브리지 디바이스로 연결되는 포트에서 PortFast를 사용하지 않도록 설정하여 해당 포트에서 STP를 실행합니다.

    • 브리지 디바이스와 연결되는 포트에서 BPDU 가드 및 필터를 사용하지 않도록 설정합니다.

  • ESXi 호스트 또는 물리적 스위치에서 BPDU 필터를 활성화하여 항상 DoS 공격으로부터 환경을 보호합니다.
    • ESXi 4.1 업데이트 3, ESXi 5.0 패치 04 이상 릴리스, ESXi 5.1 패치 01 이상을 실행하는 호스트에서 다음 방식 중 하나를 사용하여 게스트 BPDU 필터를 사용하도록 설정하고 호스트를 재부팅합니다.

      • vSphere Web Client의 호스트 구성 탭에 있는 [고급 시스템 설정] 테이블에서 Net.BlockGuestBPDU 속성을 1로 설정합니다.

      • 호스트에 대한 ESXi Shell에서 다음 vCLI 명령을 입력합니다.

        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • 게스트 BPDU 필터가 구현되지 않은 호스트에서 가상 브리지 디바이스와 연결되는 물리적 스위치 포트에 대해 BPDU 필터를 사용하도록 설정합니다.

      네트워크 디바이스

      구성

      Distributed Switch 또는 표준 스위치

      포트 그룹에 대한 보안 정책의 위조 전송 속성을 거부로 설정합니다.

      물리적 스위치

      • PortFast 구성을 그대로 유지합니다.

      • 개별 물리적 스위치 포트에서 BPDU 필터를 사용하도록 설정합니다. BPDU 프레임이 해당 물리적 포트에 도착하면 필터링됩니다.

      참고:

      BPDU 필터를 전체적으로 사용하도록 설정하지 마십시오. BPDU 필터를 전체적으로 사용하도록 설정하면 PortFast 모드가 사용하지 않도록 설정되고 모든 물리적 스위치 포트가 전체 STP 기능 집합을 수행합니다.