네트워킹 보안 정책은 MAC 주소 가장 행위 및 원치 않는 포트 검색으로부터 트래픽을 보호합니다.

표준 스위치 또는 Distributed Switch의 보안 정책은 네트워크 프로토콜 스택의 계층 2(데이터 링크 계층)에서 구현됩니다. 보안 정책의 세 가지 요소는 비규칙(promiscuous) 모드, MAC 주소 변경 및 위조 전송입니다. 잠재적인 네트워킹 위협에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

vSphere 표준 스위치 또는 표준 포트 그룹에 대한 보안 정책 구성

가상 시스템의 게스트 운영 체제에서 vSphere 표준 스위치에 대해 MAC 주소 및 비규칙(Promiscuous) 모드 변경을 거부하는 보안 정책을 구성할 수 있습니다. 개별 포트 그룹의 표준 스위치에서 상속되는 보안 정책을 재정의할 수 있습니다.

프로시저

  1. vSphere Client에서 호스트로 이동합니다.
  2. 구성 탭에서 네트워킹을 확장하고 가상 스위치를 선택합니다.
  3. 표준 스위치 또는 포트 그룹에 대한 보안 정책으로 이동합니다.
    옵션 작업
    vSphere 표준 스위치
    1. 목록에서 표준 스위치를 선택합니다.
    2. 설정 편집을 클릭합니다.
    3. 보안을 선택합니다.
    표준 포트 그룹
    1. 포트 그룹이 있는 표준 스위치를 선택합니다.
    2. 토폴로지 다이어그램에서 표준 포트 그룹을 선택합니다.
    3. 설정 편집을 클릭합니다.
    4. 보안을 선택하고 재정의할 옵션 옆의 재정의를 선택합니다.
  4. 표준 스위치 또는 포트 그룹에 연결된 가상 시스템의 게스트 운영 체제에서 비규칙(Promiscuous) 모드 활성화 또는 MAC 주소 변경을 거부하거나 수락합니다.
    옵션 설명
    무차별 모드
    • 거부. VM 네트워크 어댑터가 가상 시스템에 전송된 프레임만 수신합니다.
    • 동의. 가상 스위치가 VM 네트워크 어댑터가 연결된 포트에 대한 활성 VLAN 정책에 따라 모든 프레임을 가상 시스템에 전달합니다.
    참고: 무차별 모드는 안전하지 않은 작업 모드입니다. 방화벽, 포트 스캐너, 침입 감지 시스템이 무차별 모드로 실행되어야 합니다.
    MAC 주소 변경
    • 거부. 게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소와 다른 값으로 변경하는 경우 스위치가 어댑터에 대한 모든 인바운드 프레임을 삭제합니다.

      게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소로 다시 변경하는 경우 가상 시스템이 프레임을 다시 수신합니다.

    • 동의. 게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소와 다른 값으로 변경하는 경우 스위치가 프레임을 새 주소에 전달할 수 있도록 허용합니다.
    위조 전송
    • 거부. 소스 MAC 주소가 .vmx 구성 파일에 있는 주소와 다를 경우 스위치가 가상 시스템 어댑터에서 모든 아웃바운드 프레임을 삭제합니다.
    • 동의. 스위치가 필터링을 수행하지 않고 모든 아웃바운드 프레임을 허용합니다.
    상태 MAC 학습 기능을 사용하거나 사용하지 않도록 설정합니다. 기본값은 사용 안 함입니다.
    유니캐스트 플러딩 허용 포트에서 수신한 패킷에 알 수 없는 대상 MAC 주소가 있으면 패킷이 삭제됩니다. 알 수 없는 유니캐스트 플러딩이 사용되도록 설정되면 포트는 MAC 학습 및 알 수 없는 유니캐스트 플러딩이 사용되도록 설정된 스위치의 모든 포트에 알 수 없는 유니캐스트 트래픽을 플러딩합니다. 이 속성은 MAC 학습이 사용되도록 설정된 경우 기본적으로 사용되도록 설정됩니다.
    MAC 제한 학습할 수 있는 MAC 주소 수는 구성 가능합니다. 최대값은 포트당 4096(기본값)입니다.
    MAC 제한 정책 MAC 제한에 도달한 경우에 대한 정책입니다. 옵션은 다음과 같습니다.
    • 삭제 - 알 수 없는 소스 MAC 주소의 패킷이 삭제됩니다. 이 MAC 주소로의 인바운드 패킷은 알 수 없는 유니캐스트로 처리됩니다. 포트는 알 수 없는 유니캐스트 플러딩을 사용하도록 설정한 경우에만 패킷을 수신합니다.
    • 허용 - 주소가 학습되지 않더라도 알 수 없는 소스 MAC 주소의 패킷이 전달됩니다. 이 MAC 주소로의 인바운드 패킷은 알 수 없는 유니캐스트로 처리됩니다. 포트는 알 수 없는 유니캐스트 플러딩을 사용하도록 설정한 경우에만 패킷을 수신합니다.
  5. 확인을 클릭합니다.

분산 포트 그룹 또는 분산 포트에 대한 보안 정책 구성

분산 포트 그룹에 대한 보안 정책을 설정하여 포트 그룹과 연결된 가상 시스템의 게스트 운영 체제에서 비규칙(Promiscuous) 모드 및 MAC 주소 변경을 허용하거나 거부할 수 있습니다. 개별 포트의 분산 포트 그룹에서 상속된 보안 정책을 재정의할 수 있습니다.

사전 요구 사항

분산 포트 수준에서 정책을 재정의하려면 이 정책에 대해 포트 수준 재정의 옵션을 사용하도록 설정합니다. 포트 수준에서 네트워킹 정책 재정의 구성의 내용을 참조하십시오.

프로시저

  1. vSphere Client 홈 페이지에서 네트워킹을 클릭하고 분산 스위치로 이동합니다.
  2. 분산 포트 그룹 또는 포트에 대한 보안 정책으로 이동합니다.
    옵션 작업
    분산 포트 그룹
    1. 작업 메뉴에서 분산 포트 그룹 > 분산 포트 그룹 관리를 선택합니다.
    2. 보안을 선택하고 다음을 클릭합니다.
    3. 포트 그룹을 선택하고 다음을 클릭합니다.
    분산 포트
    1. 네트워크 탭에서 분산 포트 그룹을 클릭하고 원하는 분산 포트 그룹을 두 번 클릭합니다.
    2. 포트 탭에서 포트를 선택하고 설정 편집 아이콘을 클릭합니다.
    3. 보안을 선택합니다.
    4. 재정의할 속성 옆의 재정의를 선택합니다.
  3. 분산 포트 그룹 또는 포트에 연결된 가상 시스템의 게스트 운영 체제에서 비규칙(Promiscuous) 모드 활성화 또는 MAC 주소 변경을 거부하거나 수락합니다.
    옵션 설명
    무차별 모드
    • 거부. VM 네트워크 어댑터가 가상 시스템에 전송된 프레임만 수신합니다.
    • 동의. 가상 스위치가 VM 네트워크 어댑터가 연결된 포트에 대한 활성 VLAN 정책에 따라 모든 프레임을 가상 시스템에 전달합니다.
    참고: 무차별 모드는 안전하지 않은 작업 모드입니다. 방화벽, 포트 스캐너, 침입 감지 시스템이 무차별 모드로 실행되어야 합니다.
    MAC 주소 변경
    • 거부. 게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소와 다른 값으로 변경하는 경우 스위치가 어댑터에 대한 모든 인바운드 프레임을 삭제합니다.

      게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소로 다시 변경하는 경우 가상 시스템이 프레임을 다시 수신합니다.

    • 동의. 게스트 운영 체제가 가상 시스템의 유효 MAC 주소를 VM 네트워크 어댑터의 MAC 주소와 다른 값으로 변경하는 경우 스위치가 프레임을 새 주소에 전달할 수 있도록 허용합니다.
    위조 전송
    • 거부. 소스 MAC 주소가 .vmx 구성 파일에 있는 주소와 다를 경우 스위치가 가상 시스템 어댑터에서 모든 아웃바운드 프레임을 삭제합니다.
    • 동의. 스위치가 필터링을 수행하지 않고 모든 아웃바운드 프레임을 허용합니다.
    상태 MAC 학습 기능을 사용하거나 사용하지 않도록 설정합니다. 기본값은 사용 안 함입니다.
    유니캐스트 플러딩 허용 포트에서 수신한 패킷에 알 수 없는 대상 MAC 주소가 있으면 패킷이 삭제됩니다. 알 수 없는 유니캐스트 플러딩이 사용되도록 설정되면 포트는 MAC 학습 및 알 수 없는 유니캐스트 플러딩이 사용되도록 설정된 스위치의 모든 포트에 알 수 없는 유니캐스트 트래픽을 플러딩합니다. 이 속성은 MAC 학습이 사용되도록 설정된 경우 기본적으로 사용되도록 설정됩니다.
    MAC 제한 학습할 수 있는 MAC 주소 수는 구성 가능합니다. 최대값은 포트당 4096(기본값)입니다.
    MAC 제한 정책 MAC 제한에 도달한 경우에 대한 정책입니다. 옵션은 다음과 같습니다.
    • 삭제 - 알 수 없는 소스 MAC 주소의 패킷이 삭제됩니다. 이 MAC 주소로의 인바운드 패킷은 알 수 없는 유니캐스트로 처리됩니다. 포트는 알 수 없는 유니캐스트 플러딩을 사용하도록 설정한 경우에만 패킷을 수신합니다.
    • 허용 - 주소가 학습되지 않더라도 알 수 없는 소스 MAC 주소의 패킷이 전달됩니다. 이 MAC 주소로의 인바운드 패킷은 알 수 없는 유니캐스트로 처리됩니다. 포트는 알 수 없는 유니캐스트 플러딩을 사용하도록 설정한 경우에만 패킷을 수신합니다.
  4. 설정을 검토하고 구성을 적용합니다.