やりたいこと
ESXiは「仮想マシンから送信されたパケットのMACアドレスが仮想NICに割り当てられているMACアドレスと違った場合に許可するか否か」を設定するセキュリティオプションがあり、それを拒否にしたい。
環境情報
- VMware ESXi 6
やり方
ブラウザからESXiを開き、「トップ画面>ネットワーク>vSwitch0」と該当のvSwitchを選定。
セキュリティ
無差別モード 拒否
MACアドレス変更 承諾
偽装転送 承諾
デフォルトが上記になっている部分の「偽装転送」を拒否に変更してOKを押下するとGUI上で変化し
# esxcli network vswitch standard policy security get -v vSwitch0 Allow Promiscuous: false Allow MAC Address Change: true Allow Forged Transmits: true
から
# esxcli network vswitch standard policy security get -v vSwitch0 Allow Promiscuous: false Allow MAC Address Change: true Allow Forged Transmits: false
と変更されている。
以下補足です。
補足
vSwitch名は以下で確認できます。
# esxcli network vswitch standard list vSwitch0 Name: vSwitch0
本件ですが、セキュリティ観点では「拒否」がベストプラクティスなものの、仮想マシン側でMACアドレスを変えたりする要件がある場合は明示的に「承諾」にしておく必要があります。
尚、参考までですがこの変更は瞬時に反映され、ESXi及び仮想マシンの通信に影響がありませんでした。