使用交換器的安全性設定,您可以透過限制一些 MAC 位址模式來保護標準交換器流量不受第 2 層的攻擊。

每個虛擬機器網路介面卡均具有一個初始 MAC 位址和一個有效的 MAC 位址。

初始 MAC 位址

建立介面卡時將指派初始 MAC 位址。儘管可以從客體作業系統外部重新設定初始 MAC 位址,但客體作業系統無法變更初始 MAC 位址。

有效 MAC 位址

每個介面卡都具有一個有效 MAC 位址,可篩選出目的地 MAC 位址與有效 MAC 位址不同的傳入網路流量。客體作業系統負責設定有效 MAC 位址,且通常使有效 MAC 位址與初始 MAC 位址相符。

虛擬機器網路介面卡建立後,其有效 MAC 位址與初始 MAC 位址相同。客體作業系統可隨時將有效 MAC 位址更改為其他值。如果作業系統變更了有效 MAC 位址,其網路介面卡將接收傳送到新 MAC 位址的網路流量。

透過網路介面卡傳送封包時,客體作業系統通常會將其介面卡的有效 MAC 位址輸入乙太網路畫面的來源 MAC 位址欄位中。它還會將接收網路介面卡的 MAC 位址輸入目的地 MAC 位址欄位中。僅當封包中的目的地 MAC 位址與其自身有效的 MAC 位址相符時,接收介面卡才接受封包。

作業系統可傳送具有模擬來源 MAC 位址的畫面。這意味著,作業系統可透過模擬接收網路授權的網路介面卡對網路中的裝置發起惡意攻擊。

透過在連接埠群組或連接埠上設定安全性原則,防止虛擬流量受到模擬和第 2 層攔截攻擊。

分散式連接埠群組和連接埠上的安全性原則包含下列選項:

您可以透過選取與 vSphere Web Client 中主機相關聯的虛擬交換器,來檢視與變更預設設定。請參閱 《vSphere 網路》說明文件。