您可以使用來自允許 BPDU 清單的 MAC 目的地位址,建立自訂區段安全性區段設定檔並設定速率限制。

必要條件

自行熟悉區段安全性區段設定檔概念。請參閱瞭解交換器安全性交換設定檔

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 選取網路 > 區段 > 區段設定檔
  3. 按一下新增區段設定檔,然後選取區段安全性
  4. 完成區段安全性設定檔詳細資料。
    選項 說明
    名稱 設定檔的名稱。
    BPDU 篩選器

    切換 BPDU 篩選器按鈕以啟用 BPDU 篩選。依預設為停用狀態。

    當 BPDU 篩選器啟用時,系統會封鎖所有對 BPDU 目的地 MAC 位址的流量。BPDU 篩選器啟用時也會停用邏輯交換器連接埠上的 STP,因為這些連接埠不應包含在 STP 中。

    BPDU 篩選器允許清單 從 BPDU 目的地 MAC 位址清單按一下目的地 MAC 位址,以便允許對允許目的地之流量。您必須啟用 BPDU 篩選器,才能從此清單中選取。
    DHCP 篩選器

    切換伺服器封鎖按鈕及用戶端封鎖按鈕以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCP 伺服器封鎖」會封鎖 DHCP 伺服器至 DHCP 用戶端的流量。請注意,它不會封鎖 DHCP 伺服器至 DHCP 轉送代理程式的流量。

    「DHCP 用戶端封鎖」會封鎖 DHCP 要求,以防止虛擬機器取得 DHCP IP 位址。

    DHCPv6 篩選器

    切換伺服器封鎖 - IPv6 按鈕及用戶端封鎖 - IPv6 按鈕,以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCPv6 伺服器封鎖」會封鎖 DHCPv6 伺服器至 DHCPv6 用戶端的流量。請注意,它不會封鎖 DHCP 伺服器至 DHCP 轉送代理程式的流量。將會篩選 UDP 來源連接埠號碼為 547 的封包。

    「DHCPv6 用戶端封鎖」會封鎖 DHCP 要求,以防止虛擬機器取得 DHCP IP 位址。將會篩選 UDP 來源連接埠號碼為 546 的封包。

    封鎖非 IP 流量

    切換封鎖非 IP 流量按鈕以僅允許 IPv4、IPv6、ARP 和 BPDU 流量。

    系統會封鎖剩餘的非 IP 流量。允許的 IPv4、IPv6、ARP、GARP 和 BPDU 流量是根據位址繫結及 SpoofGuard 組態中所設定的其他原則而定。

    依預設,系統會停用此選項以允許非 IP 流量以一般流量方式處理。

    RA 保護 切換 RA 保護按鈕,以篩選出入口 IPv6 路由器通告。ICMPv6 類型 134 封包將被篩選掉。此選項依預設為啟用。
    速率限制

    設定廣播及多點傳播流量的速率限制。此選項依預設為啟用。

    速率限制可用來保護邏輯交換器或虛擬機器免於遭受廣播風暴等事件。

    若要避免任何連線問題,最低速率限制值必須 >= 10 pps。

  5. 按一下儲存