對分散式連接埠群組設定安全性原則,以允許或拒絕與連接埠群組相關聯的虛擬機器客體作業系統中的混合模式和 MAC 位址變更。您可以覆寫繼承自個別連接埠的分散式連接埠群組的安全性原則。

先決條件

若要在分散式連接埠層級覆寫原則,請針對此原則啟用連接埠層級覆寫選項。請參閱 設定連接埠層級的覆寫網路原則

程序

  1. vSphere Web Client中,導覽至分散式交換器。
  2. 導覽至分散式連接埠群組或連接埠的安全性原則。

    選項

    動作

    分散式連接埠群組

    1. 動作功能表中,選取分散式連接埠群組 > 管理分散式連接埠群組

    2. 選取安全性

    3. 選取連接埠群組,然後按下一步

    分散式連接埠

    1. 網路索引標籤上,按一下分散式連接埠群組,然後按兩下某個分散式連接埠群組。

    2. 連接埠索引標籤上,選取連接埠,然後按一下編輯分散式連接埠設定圖示。

    3. 選取安全性

    4. 選取要覆寫之內容旁的覆寫

  3. 拒絕或接受附加至分散式連接埠群組或連接埠的虛擬機器客體作業系統中的混合模式啟動或 MAC 位址變更。

    選項

    說明

    混合模式

    • 拒絕。虛擬機器網路介面卡僅接收傳輸到虛擬機器的框架。

    • 接受。虛擬交換器會根據虛擬機器網路介面卡所連線到的連接埠的作用中 VLAN 原則,將所有框架轉送到虛擬機器。

    備註︰

    混合模式是一種不安全的運作模式。防火牆、連接埠掃描程式、入侵偵測系統必須在混合模式下執行。

    MAC 位址變更

    • 拒絕。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值 (於 .vmx 組態檔中設定),交換器會捨棄輸入到介面卡的所有框架。

      如果客體作業系統將虛擬機器的有效 MAC 位址變更為虛擬機器網路介面卡的 MAC 位址,則虛擬機器會重新接收框架。

    • 接受。如果客體作業系統將虛擬機器的有效 MAC 位址變更為不同於虛擬機器網路介面卡之 MAC 位址的值,則交換器允許到該新位址的框架通過。

    偽造的傳輸

    • 拒絕。如果從虛擬機器介面卡輸出的任何框架的來源 MAC 位址不同於 .vmx 組態檔中的來源 MAC 位址,則交換器會捨棄這些框架。

    • 接受。交換器不執行篩選,並允許所有輸出框架。

  4. 檢閱設定並套用組態。