透過使用規則,可允許或停止流量,從而確保經過虛擬機器、VMkernel 介面卡或實體介面卡的資料流量的安全。

必要條件

若要在分散式連接埠層級覆寫原則,請針對此原則啟用連接埠層級覆寫選項。請參閱設定連接埠層級的覆寫網路原則

程序

  1. 導覽至 Distributed Switch,然後導覽至分散式連接埠或上行連接埠。
    • 若要導覽至交換器的分散式連接埠,請按一下網路 > 分散式連接埠群組,按一下清單中的分散式連接埠群組,然後按一下連接埠索引標籤。
    • 若要導覽至上行連接埠群組的上行連接埠,請按一下網路 > 上行連接埠群組,按一下清單中的上行連接埠群組,然後按一下連接埠索引標籤。
  2. 從清單中選取連接埠。
  3. 選取流量篩選和標記索引標籤。
  4. 如果未在連接埠層級啟用流量篩選和標記,請按一下 [啟用和重新排序] 按鈕,覆寫預設設定,然後按一下啟用所有流量規則
    如果在群組層級啟用流量規則,則在覆寫連接埠的預設設定後,流量規則會自動啟用。
  5. 按一下新增建立新規則,或選取規則並按一下編輯進行編輯。
    您可以變更從分散式連接埠群組或上行連接埠群組繼承的規則。可以透過這一方式使規則在連接埠範圍內具有唯一性。
  6. 在網路流量規則對話方塊中,選取允許動作,以允許流量透過分散式連接埠或上行連接埠傳遞,或選取捨棄動作,以限制流量傳遞。
  7. 指定此規則所適用的流量種類。
    若要確定某一資料流量是否位於要標記或篩選的規則範圍內,vSphere Distributed Switch 會檢查流量的方向、來源和目的地等內容、VLAN、下一層級通訊協定、基礎結構流量類型等。
    1. 流量方向下拉式功能表中,選取流量必須為入口、出口還是同時為這兩者,才能使規則將流量視為相符。

      此方向還會影響您識別流量來源和目的地的方式。

    2. 透過使用系統資料類型辨識符號、第 2 層封包屬性和第 3 層封包屬性,可以設定封包要與規則相符而需要具備的屬性。

      辨識符號表示與網路層相關的一組相符準則。您可以使流量與系統資料類型、第 2 層流量內容和第 3 層流量內容相符。您可以使用特定網路層的辨識符號,也可以組合使用多個辨識符號,從而更精確地比對封包。

      • 使用系統流量辨識符號,比對封包與流經群組連接埠的虛擬基礎結構資料類型。例如,您可以針對傳輸到網路儲存區的資料選取 NFS。
      • 使用 MAC 流量辨識符號,可依 MAC 位址、VLAN 識別碼和下一層級通訊協定比對封包。

        可以使用虛擬客體標記 (VGT) 在分散式連接埠群組上尋找具有某個 VLAN 識別碼的流量。如果要在虛擬交換器標記 (VST) 處於作用中狀態時,使流量與 VLAN 識別碼相符,請對上行連接埠群組或上行連接埠使用一個規則。

      • 使用 IP 流量辨識符號,可依 IP 版本、IP 位址以及下一層級通訊協定和連接埠比對封包。
  8. 在 [規則] 對話方塊中,按一下確定儲存該規則。