瞭解如何允許或停止流量,從而確保通過分散式連接埠群組或上行連接埠群組中連接埠的資料安全性。

程序

  1. vSphere Client 中找到分散式連接埠群組或上行連接埠群組。
    1. 選取分散式交換器,然後按一下網路索引標籤。
    2. 按一下分散式連接埠群組查看分散式連接埠群組清單,或按一下上行連接埠群組查看上行連接埠群組清單。
  2. 按一下分散式連接埠群組或上行連接埠群組,然後選取設定索引標籤。
  3. 在 [設定] 下,選取流量篩選和標記
  4. 如果流量篩選和標記已停用,請按一下啟用和重新排序 > 啟用所有流量規則 > 確定
  5. 按一下新增建立新規則,或選取規則並按一下編輯進行編輯。
  6. 在 [網路流量規則] 對話方塊中,使用 [動作] 選項可允許流量通過分散式連接埠群組或上行連接埠群組的連接埠,或限制流量通過。
  7. 指定此規則所適用的流量種類。
    若要確定某一資料流量是否位於要標記或篩選的規則範圍內,vSphere Distributed Switch 會檢查流量的方向、來源和目的地等內容、VLAN、下一層級通訊協定、基礎結構流量類型等。
    1. 流量方向下拉式功能表中,選取流量必須為入口、出口還是同時為這兩者,才能使規則將流量視為相符。

      此方向還會影響您識別流量來源和目的地的方式。

    2. 透過使用系統資料類型辨識符號、第 2 層封包屬性和第 3 層封包屬性,可以設定封包要與規則相符而需要具備的屬性。

      辨識符號表示與網路層相關的一組相符準則。您可以使流量與系統資料類型、第 2 層流量內容和第 3 層流量內容相符。您可以使用特定網路層的辨識符號,也可以組合使用多個辨識符號,從而更精確地比對封包。

      • 使用系統流量辨識符號,比對封包與流經群組連接埠的虛擬基礎結構資料類型。例如,您可以針對傳輸到網路儲存區的資料選取 NFS。
      • 使用 MAC 流量辨識符號,可依 MAC 位址、VLAN 識別碼和下一層級通訊協定比對封包。

        可以使用虛擬客體標記 (VGT) 在分散式連接埠群組上尋找具有某個 VLAN 識別碼的流量。如果要在虛擬交換器標記 (VST) 處於作用中狀態時,使流量與 VLAN 識別碼相符,請對上行連接埠群組或上行連接埠使用一個規則。

      • 使用 IP 流量辨識符號,可依 IP 版本、IP 位址以及下一層級通訊協定和連接埠比對封包。
  8. 在 [規則] 對話方塊中,按一下確定儲存該規則。