(O+P)ut

アウトプット



(O+P)ut

エンジニアのアウトプット
トップ > VMware > 【VMWare/ESXi】vSwitchのオプションである偽装転送を承諾から拒否に変更する手順

【VMWare/ESXi】vSwitchのオプションである偽装転送を承諾から拒否に変更する手順

VMware
スポンサーリンク

やりたいこと

ESXiは「仮想マシンから送信されたパケットのMACアドレスが仮想NICに割り当てられているMACアドレスと違った場合に許可するか否か」を設定するセキュリティオプションがあり、それを拒否にしたい。

環境情報
  • VMware ESXi 6

やり方

ブラウザからESXiを開き、「トップ画面>ネットワーク>vSwitch0」と該当のvSwitchを選定。

セキュリティ
無差別モード 拒否
MACアドレス変更 承諾
偽装転送 承諾

デフォルトが上記になっている部分の「偽装転送」を拒否に変更してOKを押下するとGUI上で変化し

f:id:mtiit:20210514141351p:plain
拒否となっている
実機も

# esxcli network vswitch standard policy security get -v vSwitch0
   Allow Promiscuous: false
   Allow MAC Address Change: true
   Allow Forged Transmits: true

から

# esxcli network vswitch standard policy security get -v vSwitch0
   Allow Promiscuous: false
   Allow MAC Address Change: true
   Allow Forged Transmits: false

と変更されている。

以下補足です。

補足

vSwitch名は以下で確認できます。

# esxcli network vswitch standard list
vSwitch0
   Name: vSwitch0

本件ですが、セキュリティ観点では「拒否」がベストプラクティスなものの、仮想マシン側でMACアドレスを変えたりする要件がある場合は明示的に「承諾」にしておく必要があります。

尚、参考までですがこの変更は瞬時に反映され、ESXi及び仮想マシンの通信に影響がありませんでした。