管理員可使用數種選項,確保其 vSphere 環境中 VLAN 的安全。

程序

  1. 請確保連接埠群組未設定為由上游實體交換器保留的 VLAN 值

    請勿將 VLAN 識別碼設定為保留供實體交換器使用的值。

  2. 請確保連接埠群組未設定為 VLAN 4095,除非您正在使用虛擬客體標記 (VGT)。

    vSphere 中存在三種 VLAN 標記類型:

    • 外部交換器標記 (EST)

    • 虛擬交換器標記 (VST) - 虛擬交換器使用已設定的 VLAN 識別碼來標記傳入附加虛擬機器的流量,並移除從虛擬機器傳出的流量的標籤。若要設定 VST 模式,請指派 1 到 4095 之間的 VLAN 識別碼。

    • 虛擬客體標記 (VGT) - 虛擬機器處理 VLAN 流量。若要啟動 VGT 模式,請將 VLAN 識別碼設定為 4095。在分散式交換器上,您還可以透過使用 VLAN 主幹連線選項,允許以 VLAN 為基礎的虛擬機器流量。

    在標準交換器上,您可以在交換器或連接埠群組層級上設定 VLAN 網路模式,而在分散式交換器上,您可以在分散式連接埠群組或連接埠層級上設定。

  3. 請確保已完全記錄了每台虛擬交換器上的所有 VLAN,而且每台虛擬交換器有且僅有所需的 VLAN。