遵循一般網路安全建議是保護網路環境安全的第一步。然後,您可以轉至特別區域,例如使用防火牆保護網路或使用 IPsec。

  • 如果啟用跨距樹狀目錄,請確保實體交換器連接埠已設定 Portfast。由於 VMware 虛擬交換器不支援 STP,所以連線到 ESXi 主機的實體交換器連接埠必須已設定 Portfast,才能避免在實體交換器網路內迴圈。如果未設定 Portfast,則可能會出現效能和連線問題。

  • 確保分散式虛擬交換器的 Netflow 流量僅傳送到授權的收集器 IP 位址。Netflow 匯出未加密且可能包含有關虛擬網路的資訊。此資訊會增加攔截式攻擊成功的可能性。如果需要 Netflow 匯出,請確認所有 Netflow 目標 IP 位址均正確無誤。

  • 確保僅授權的管理員可以透過使用角色型存取控制來存取虛擬網路元件。例如,為虛擬機器管理員指定僅存取其虛擬機器所在連接埠群組的權限。為網路管理員指定存取所有虛擬網路元件的權限,但沒有虛擬機器的存取權。有限存取可降低錯誤組態 (無論是意外還是惡意) 的風險,並增強職責分離與最少權限的重要安全性概念。

  • 請確保連接埠群組未設定為原生 VLAN 的值。實體交換器將 VLAN 1 用作其原生 VLAN。原生 VLAN 上的框架未加上標籤 1。ESXi 沒有原生 VLAN。在連接埠群組中指定含 VLAN 的框架有標籤,但未在連接埠群組中指定含 VLAN 的框架不會加上標籤。這可能會產生問題,因為具有標籤 1 的虛擬機器最終會屬於實體交換器的原生 VLAN。

    例如,Cisco 實體交換器之 VLAN 1 的框架會取消標籤,因為 VLAN1 是該實體交換器的原生 VLAN。但是,ESXi 主機中指定為 VLAN 1 的框架會加上標籤 1。因此,傳送到原生 VLAN 的 ESXi 主機流量無法正確路由,因為該原生 VLAN 帶有標籤 1,而沒有取消標籤。來自原生 VLAN 的實體交換器流量不可見,因為原生 VLAN 未加上標籤。如果 ESXi 虛擬交換器連接埠群組使用原生 VLAN 識別碼,則來自該連接埠上的虛擬機器的流量對交換器上的原生 VLAN 不可見,因為交換器預期的是取消標籤的流量。

  • 請確保連接埠群組未設定為由上游實體交換器保留的 VLAN 值。實體交換器保留某些 VLAN 識別碼用於內部用途,且通常禁止設定為這些值的流量。例如,Cisco Catalyst 交換器通常保留 VLAN 1001–1024 和 4094。使用保留的 VLAN 可能會導致網路上的拒絕服務。

  • 請確保連接埠群組未設定為 VLAN 4095,虛擬客體標記 (VGT) 除外。將連接埠群組設定為 VLAN 4095 可啟動 VGT 模式。在此模式下,虛擬交換器會將所有網路框架傳遞到虛擬機器,不需要修改 VLAN 標籤,直接留給虛擬機器處理。

  • 在分散式虛擬交換器上限制連接埠層級組態覆寫。連接埠層級組態覆寫預設為停用。啟用覆寫時,您可以使用除連接埠群組層級設定以外的其他虛擬機器安全性設定。某些虛擬機器需要唯一組態,但監控不可或缺。如果不監控覆寫,則可存取含危險分散式虛擬交換器組態之虛擬機器的任何人都可以嘗試利用該存取權。

  • 確保分散式虛擬交換器連接埠鏡像流量僅傳送到授權的收集器連接埠或 VLAN。vSphere Distributed Switch 可以將流量從一個連接埠鏡像到另一個連接埠,以允許封包擷取裝置收集特定流量。連接埠鏡像以未加密格式傳送所有指定流量的複本。此鏡像流量包含擷取封包中的完整資料,如果方向錯誤,可能會完全損壞這些資料。如果需要連接埠鏡像,請確認所有連接埠鏡像目的地 VLAN、連接埠和上行識別碼皆正確無誤。