您可以使用來自允許 BPDU 清單的 MAC 目的地位址,以建立自訂交換器安全性交換設定檔並設定速率限制。

必要條件

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > 邏輯交換器
  3. 按一下交換設定檔索引標籤。
  4. 按一下新增,然後選取交換器安全性
  5. 完成交換器安全性設定檔詳細資料。
    選項 說明
    名稱與說明

    將名稱指派至自訂交換器安全性設定檔。

    您可以選擇性地描述您在設定檔中修改的設定。

    BPDU 篩選器

    切換 BPDU 篩選器按鈕以啟用 BPDU 篩選。依預設為停用狀態。

    當 BPDU 篩選器啟用時,系統會封鎖所有對 BPDU 目的地 MAC 位址的流量。BPDU 篩選器啟用時也會停用邏輯交換器連接埠上的 STP,因為這些連接埠不應包含在 STP 中。

    BPDU 篩選器允許清單 從 BPDU 目的地 MAC 位址清單按一下目的地 MAC 位址,以便允許對允許目的地之流量。您必須啟用 BPDU 篩選器,才能從此清單中選取。
    DHCP 篩選器

    切換伺服器封鎖按鈕及用戶端封鎖按鈕以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCP 伺服器封鎖」會封鎖 DHCP 伺服器至 DHCP 用戶端的流量。請注意,它不會封鎖 DHCP 伺服器至 DHCP 轉送代理程式的流量。

    「DHCP 用戶端封鎖」會封鎖 DHCP 要求,以防止虛擬機器取得 DHCP IP 位址。

    DHCPv6 篩選器

    切換 V6 伺服器封鎖按鈕及 V6 用戶端封鎖按鈕以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCPv6 伺服器封鎖」會封鎖 DHCPv6 伺服器至 DHCPv6 用戶端的流量。請注意,它不會封鎖 DHCP 伺服器至 DHCP 轉送代理程式的流量。將會篩選 UDP 來源連接埠號碼為 547 的封包。

    「DHCPv6 用戶端封鎖」會封鎖 DHCP 要求,以防止虛擬機器取得 DHCP IP 位址。將會篩選 UDP 來源連接埠號碼為 546 的封包。

    封鎖非 IP 流量

    切換封鎖非 IP 流量按鈕以僅允許 IPv4、IPv6、ARP 和 BPDU 流量。

    系統會封鎖剩餘的非 IP 流量。允許的 IPv4、IPv6、ARP、GARP 和 BPDU 流量是根據位址繫結及 SpoofGuard 組態中所設定的其他原則而定。

    依預設,系統會停用此選項以允許非 IP 流量以一般流量方式處理。

    RA 保護 切換 RA 保護按鈕,以篩選出入口 IPv6 路由器通告。ICMPv6 類型 134 封包將被篩選掉。此選項依預設為啟用。
    速率限制

    設定廣播及多點傳播流量的速率限制。此選項依預設為啟用。

    速率限制可用來保護邏輯交換器或虛擬機器免於遭受廣播風暴等事件。

    若要避免任何連線問題,最低速率限制值必須 >= 10 pps。

  6. 按一下新增

結果

自訂交換器安全性設定檔會顯示為連結。

下一步

將此交換器安全性自訂交換設定檔連結至邏輯交換器或邏輯連接埠,讓交換設定檔中已修改的參數可套用至網路流量。請參閱在管理程式模式中建立自訂設定檔與邏輯交換器之間的關聯在管理程式模式中建立自訂設定檔與邏輯連接埠之間的關聯