您可以透過限制一些 MAC 位址模式來保護標準交換器流量不受第 2 層的攻擊。

每個虛擬機器網路介面卡均具有一個初始 MAC 位址和一個有效的 MAC 位址。

初始 MAC 位址

建立介面卡時將指派初始 MAC 位址。儘管可以從客體作業系統外部重新設定初始 MAC 位址,但客體作業系統無法變更初始 MAC 位址。

有效 MAC 位址

每個介面卡都具有一個有效 MAC 位址,可篩選出目的地 MAC 位址與有效 MAC 位址不同的傳入網路流量。客體作業系統負責設定有效 MAC 位址,且通常使有效 MAC 位址與初始 MAC 位址相符。

虛擬機器網路介面卡建立後,其有效 MAC 位址與初始 MAC 位址相同。客體作業系統可隨時將有效 MAC 位址更改為其他值。如果作業系統變更了有效 MAC 位址,其網路介面卡將接收傳送到新 MAC 位址的網路流量。

透過網路介面卡傳送封包時,客體作業系統通常會將其介面卡的有效 MAC 位址輸入乙太網路畫面的來源 MAC 位址欄位中。它還會將接收網路介面卡的 MAC 位址輸入目的地 MAC 位址欄位中。僅當封包中的目的地 MAC 位址與其自身有效的 MAC 位址相符時,接收介面卡才接受封包。

作業系統可傳送具有模擬來源 MAC 位址的畫面。這意味著,作業系統可透過模擬接收網路授權的網路介面卡對網路中的裝置發起惡意攻擊。

您可以透過限制以下模式來保護通過標準交換器的流量不受此類型第 2 層的攻擊:

  • 混合模式

  • MAC 位址變更

  • 偽造的傳輸

若要變更連接埠的任何預設設定,請修改 vSphere Web Client 中標準交換器或連接埠群組的安全性原則。