欢迎大家来到IT世界,在知识的湖畔探索吧!
vSphere虚拟交换机基于2层的安全策略。
有3个安全策略可供选择:混杂模式、MAC地址更改、伪传输。
既然是2层安全策略,而MAC地址又是处于2层,所以这3个策略都与MAC地址有关,可称之为“MAC防火墙”。
对于物理机,有2个MAC地址:
■固化在物理网卡ROM中的MAC地址,不可更改,该地址称为“初始MAC地址”;
■操作系统也有个MAC地址,叫做“有效MAC地址”(也就是网卡地址),该地址能在网卡属性或者注册表中更改。
可见通过物理机网卡发送到网络上的帧,源MAC不一定是固化的原始MAC。
在默认的情况下,初始MAC地址和有效MAC地址是相同的,除非用户更改。
虚拟机也有类似的2个概念:
■存在于VMX配置文件中的MAC地址(在“虚拟机网卡配置”里可以看到这个地址,类似于固化的初始MAC地址),客户OS无法更改。
示例:ethernet0.generatedAddress = “00:50:56:8e:ca:14”
■客户OS的网卡地址(也就是有效MAC地址),可以更改;
地位超然的ESXi主机当然对其管辖下的所有VM的这2个MAC地址了然于胸。
安全策略既可以在vSwitch级别设置,也可以在端口/端口组级别设置,如果是后者,初始情况下这3个策略都是灰色,意为执行vSwitch级别的策略,选中以后,端口组策略就覆盖了交换机的策略。
混杂模式:
在同一个VLAN里的VM能收到本VLAN的全部数据包,客户安装WireShark,就可以看到目标是其它VM的数据包和广播包。
MAC地址更改:
ESXi发现有VM篡改了MAC地址,把网卡MAC地址改为与VMX文件中定义的MAC地址不同(有效MAC与初始MAC不同),该咋办?
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://itzsg.com/98376.html