確保每個 ESXi 主機上實體交換器的安全,以防止攻擊者取得主機及其虛擬機器的存取權。

執行這項作業的原因和時機

為了最好地保護主機,請確保實體交換器連接埠已設定為停用跨距樹狀目錄,並確保為外部實體交換器和虛擬交換器 (在虛擬交換器標記 (VST) 模式下) 之間的主幹連結設定了非交涉選項。

程序

  1. 登入實體交換器並確保跨距樹狀目錄通訊協定已停用,或確保為連線到 ESXi 主機的所有實體交換器連接埠設定了 [連接埠快速] 。
  2. 對於執行橋接或路由傳送的虛擬機器,定期檢查第一個上游實體交換器連接埠是否設定為停用 BPDU 防護和 [連接埠快速],並啟用跨距樹狀目錄通訊協定。

    在 vSphere 5.1 及更新版本中,為了防止實體交換器受到潛在的拒絕服務 (DoS) 攻擊,可以在 ESXi 主機上開啟客體 BPDU 篩選器。

  3. 登入實體交換器,並確保已連線 ESXi 主機的實體交換器連接埠上尚未啟用動態主幹連線通訊協定 (DTP)。
  4. 如果實體交換器連接埠已連線到虛擬交換器 VLAN 主幹連線連接埠,則定期檢查實體交換器連接埠來確保它們已正確設定為主幹連接埠。