如果預設設定檔的設定無法滿足您的需求,您可以建立自訂區段安全性區段設定檔。

備註: 此頁面描述的所有功能僅適用於連線至工作負載的連接埠。這些功能並不適用於 NSX Edge 介面。

必要條件

自行熟悉區段安全性區段設定檔概念。請參閱瞭解區段安全性區段設定檔

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取網路 > 區段 > 區段設定檔
  3. 按一下新增區段設定檔,然後選取區段安全性
  4. 完成區段安全性設定檔詳細資料。
    選項 說明
    名稱 設定檔的名稱。
    BPDU 篩選器

    切換 BPDU 篩選器按鈕以啟用 BPDU 篩選。依預設為停用狀態。

    當 BPDU 篩選器啟用時,系統會封鎖所有對 BPDU 目的地 MAC 位址的流量。BPDU 篩選器啟用時也會停用邏輯交換器連接埠上的 STP,因為這些連接埠不應包含在 STP 中。

    BPDU 篩選器允許清單 從 BPDU 目的地 MAC 位址清單按一下目的地 MAC 位址,以便允許對允許目的地之流量。您必須啟用 BPDU 篩選器,才能從此清單中選取。
    DHCP 篩選器

    切換伺服器封鎖按鈕及用戶端封鎖按鈕以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCP 伺服器封鎖」會封鎖 DHCP 伺服器至 DHCP 用戶端的流量。將會封鎖 UDP 目的地連接埠號碼為 68 的封包。請注意,這並不會封鎖從 DHCP 伺服器到 DHCP 轉送代理程式的流量,且 DHCP 伺服器回應 DHCP 轉送代理程式時必須停用 DHCP 用戶端封鎖功能。

    「DHCP 用戶端封鎖」會封鎖 DHCP 要求,以防止虛擬機器取得 DHCP IP 位址。將會封鎖 UDP 目的地連接埠號碼為 67 的封包。

    DHCPv6 篩選器

    切換伺服器封鎖 - IPv6 按鈕及用戶端封鎖 - IPv6 按鈕,以啟用 DHCP 篩選。依預設會停用這兩者。

    「DHCPv6 伺服器封鎖」會封鎖 DHCPv6 伺服器至 DHCPv6 用戶端的流量。將會封鎖 UDP 目的地連接埠號碼為 546 的封包。請注意,這並不會封鎖從 DHCPv6 伺服器到 DHCPv6 轉送代理程式的流量,且 DHCPv6 伺服器回應 DHCPv6 轉送代理程式時必須停用 DHCPv6 用戶端封鎖功能。

    「DHCPv6 用戶端封鎖」會封鎖 DHCPv6 要求,以防止虛擬機器取得 DHCPv6 IP 位址。將會封鎖 UDP 目的地連接埠號碼為 547 的封包。

    封鎖非 IP 流量

    切換封鎖非 IP 流量按鈕以僅允許 IPv4、IPv6、ARP 和 BPDU 流量。

    系統會封鎖剩餘的非 IP 流量。允許的 IPv4、IPv6、ARP、GARP 和 BPDU 流量是根據位址繫結及 SpoofGuard 組態中所設定的其他原則而定。

    依預設,系統會停用此選項以允許非 IP 流量以一般流量方式處理。

    RA 保護 切換 RA 保護按鈕,以篩選出入口 IPv6 路由器通告。ICMPv6 類型 134 封包將被篩選掉。此選項依預設為啟用。
    速率限制

    設定廣播及多點傳播流量的速率限制。此選項依預設為啟用。

    速率限制可用來保護工作負載和虛擬機器免於遭受廣播風暴等事件的影響。

    若要避免任何連線問題,最低速率限制值必須 >= 10 pps。

  5. 按一下儲存