傳送橋接通訊協定資料單位 (BPDU) 框架的虛擬機器 (如 VPN 用戶端) 會導致某些連線到相同連接埠群組的虛擬機器中斷連線。傳輸 BPDU 框架可能也會中斷主機或父系 vSphere HA 叢集的連線。

程序

  • 如果 VPN 軟體必須繼續在虛擬機器上運作,則允許從虛擬機器傳出流量並個別設定實體交換器連接埠來傳遞 BPDU 框架。

    網路裝置

    組態

    分散式交換器或標準交換器

    將連接埠群組上的 [偽造的傳輸] 安全性內容設定為接受,以允許 BPDU 框架離開主機並到達實體交換器連接埠。

    透過將虛擬機器置於單獨的連接埠群組中並將實體介面卡指派給群組,可以隔離 VPN 流量的設定和實體介面卡。

    警告︰

    將 [偽造的傳輸] 安全性內容設定為接受以支援主機傳送 BPDU 框架,這一作業具有安全性風險,因為受到危及的虛擬機器可能會執行詐騙攻擊。

    實體交換器

    • 使 [連接埠快速] 保持啟用狀態。

    • 對於個別連接埠啟用 BPDU 篩選器。當 BPDU 框架到達連接埠時,將被篩選掉。

    備註︰

    請勿全域啟用 BPDU 篩選器。如果全域啟用 BPDU 篩選器,則 [連接埠快速] 模式將被停用,並且所有實體交換器連接埠將執行一組完整的 STP 功能。

  • 若要在均連線到第 2 層網路的兩個虛擬機器 NIC 之間部署橋接器裝置,請允許從虛擬機器中傳出 BPDU 流量並停用 [連接埠快速] 和 BPDU 迴圈防止功能。

    網路裝置

    組態

    分散式交換器或標準交換器

    將連接埠群組上安全性原則的 [偽造的傳輸] 內容設定為接受,以允許 BPDU 框架離開主機並連線實體交換器連接埠。

    透過將虛擬機器置於單獨的連接埠群組中並將實體介面卡指派給群組,可以隔離橋接器流量的設定以及一或多個實體介面卡。

    警告︰

    將 [偽造的傳輸] 安全性內容設定為接受以支援橋接器部署,這一作業具有安全性風險,因為受到危及的虛擬機器可能會執行詐騙攻擊。

    實體交換器

    • 對虛擬橋接器裝置的連接埠停用 [連接埠快速],以便在其上執行 STP。

    • 對於面對橋接器裝置的連接埠停用 BPDU 防護和篩選器。

  • 任何情況下,透過在 ESXi 主機或實體交換器上啟動 BPDU 篩選器可保護環境不受 DoS 攻擊。
    • 在執行 ESXi 4.1 Update 3、ESXi 5.0 Patch 04 及更新的 5.0 版本,以及 ESXi 5.1 Patch 01 及更新版本的主機上,按以下方式之一啟用客體 BPDU 篩選器,然後將主機重新開機:

      • vSphere Web Client 中主機的設定索引標籤上的 [進階系統設定] 資料表中,將 Net.BlockGuestBPDU 內容設定為 1

      • 在主機的 ESXi Shell 中,輸入以下 vCLI 命令:

        esxcli system settings advanced set -o /Net/BlockGuestBPDU -i 1
    • 在未實作客體 BPDU 篩選器的主機上,對虛擬橋接器裝置的實體交換器連接埠啟用 BPDU 篩選器。

      網路裝置

      組態

      分散式交換器或標準交換器

      將連接埠群組上安全性原則的 [偽造的傳輸] 內容設定為拒絕

      實體交換器

      • 保持 [連接埠快速] 組態。

      • 對個別實體交換器連接埠啟用 BPDU 篩選器。BPDU 框架到達實體連接埠時,將被篩選出。

      備註︰

      請勿全域啟用 BPDU 篩選器。如果全域啟用 BPDU 篩選器,則 [連接埠快速] 模式將被停用,並且所有實體交換器連接埠將執行一組完整的 STP 功能。