透過使用規則,可允許或停止流量,從而確保經過虛擬機器、VMkernel 介面卡或實體介面卡的資料流量的安全。

開始之前

針對此原則啟用連接埠層級覆寫選項。請參閱使用 vSphere Web Client 編輯進階分散式連接埠群組設定

程序

  1. 導覽至分散式連接埠或上行連接埠。
    • 若要導覽至交換器的分散式連接埠,請按一下管理 > 連接埠

    • 若要導覽至上行連接埠群組中的上行連接埠,請按一下相關物件 > 上行連接埠群組,從清單中按兩下上行連接埠群組,然後在管理索引標籤上選取連接埠

  2. 從清單中選取連接埠。
  3. 按一下編輯分散式連接埠設定
  4. 如果未在連接埠層級啟用流量篩選和標記,請按一下覆寫,然後從狀態下拉式功能表中選取已啟用
  5. 按一下新增建立新規則,或選取一條規則,然後按一下編輯進行編輯。

    您可以變更從分散式連接埠群組或上行連接埠群組繼承的規則。可以透過這一方式使規則在連接埠範圍內具有唯一性。

  6. 在網路流量規則對話方塊中,選取允許動作,以允許流量透過分散式連接埠或上行連接埠傳遞,或選取捨棄動作,以限制流量傳遞。
  7. 指定此規則所適用的流量種類。

    若要確定某一資料流量是否位於要標記或篩選的規則範圍內,vSphere Distributed Switch 會檢查流量的方向、來源和目的地等內容、VLAN、下一層級通訊協定、基礎結構流量類型等。

    1. 流量方向下拉式功能表中,選取流量必須為入口、出口還是同時為這兩者,才能使規則將流量視為相符。

      此方向還會影響您識別流量來源和目的地的方式。

    2. 透過使用系統資料類型辨識符號、第 2 層封包屬性和第 3 層封包屬性,可以設定封包要與規則相符而需要具備的屬性。

      辨識符號表示與網路層相關的一組相符準則。您可以使流量與系統資料類型、第 2 層流量內容和第 3 層流量內容相符。您可以使用特定網路層的辨識符號,也可以結合使用多個辨識符號,從而更精確地比對封包。

      • 使用系統流量辨識符號,將封包與流經群組連接埠的虛擬基礎結構資料類型相符。例如,您可以針對傳輸到網路儲存區的資料選取 NFS。

      • 使用 MAC 流量辨識符號,可依 MAC 位址、VLAN 識別碼和下一層級通訊協定比對封包。

        可以使用虛擬客體標記 (VGT) 在分散式連接埠群組上尋找具有某個 VLAN 識別碼的流量。如果要在虛擬交換器標記 (VST) 處於作用中狀態時,使流量與 VLAN 識別碼相符,請對上行連接埠群組或上行連接埠使用一個規則。

      • 使用 IP 流量辨識符號,可依 IP 版本、IP 位址以及下一層級通訊協定和連接埠比對封包。

  8. 在 [規則] 對話方塊中,按一下確定儲存該規則。