Go to Qiita Advent Calendar 2024 Top
LoginSignup
6
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@empty948

【VMware ESXi】仮想スイッチのポートセキュリティポリシーとは?

Last updated at Posted at 2020-05-13

はじめに

今回は、ESXiホスト構築時の仮想スイッチのポートセキュリティポリシーについて知識をアウトプットしていきます。

僕にはデータセンターに赴いてvSphereを構築をしていた経験があります。
当時、仕事にやりがいを見出せなかった影響からこちらの設定をよく忘れておりました。

また、最近ではOS設定周りを担当することが多く、HyperVisor自体を構築する機会が少なくなりました。
そのため、忘れないように備忘録として残しておきたいと思います。

仮想スイッチ設定の中にある「セキュリティ設定」とは?

下記画像の赤枠部分の設定内容になります。

1_1.jpg

  • 無差別モード
  • MACアドレス変更
  • 偽装転送

こちらの3つの設定になります。

デフォルトの設定は画像の通りでこのようになります。

  • 無差別モード
    →拒否
  • MACアドレス変更
    →承諾
  • 偽装転送
    →承諾

では、こちらのそれぞれの設定について解説していきたいと思います。

無差別モード

無差別モードとは、「自分宛ではないデータパケットも全て処理するかしないか」という設定です。
別名、「プロミスキャスモード」

「承諾」と「拒否」の設定の意味はこちらになります。

  • 「承諾」
    仮想スイッチ上に流れる全てのトラフィックを仮想マシンが受信

  • 「拒否]
    自分宛のトラフィックのみ受信

デフォルト設定では**「拒否」**になります。

仮想マシンが全てのトラフィックを受信できる場合、見られてはいけない情報を見られてしまう可能性がありますからね(笑)

仮想マシンでのトラフィックのモニタリング等、仮想スイッチ上のトラフィックを受信する必要がある要件の場合は「承諾」に設定するようです。

MACアドレス変更

MACアドレス変更とは、「仮想マシンのMACアドレスを、仮想NICに割り当てられているMACアドレスと異なる値に設定するかどうか」という設定です。

「承諾」と「拒否」の設定の意味はこちらになります。

  • 承諾
    仮想マシンの構成ファイル(.vmxファイル)にて定義したMACアドレス以外に、仮想マシンにて作成したMACアドレス宛のフレームも受信できる。

  • 拒否
    仮想マシンの構成ファイル(.vmxファイル)にて定義したMACアドレスにのみフレームを受信することができる。

デフォルト設定は**「承諾」**です。

承諾にするメリットは、「iSCSI SAN」や「Microsoft Network Load Balancer」を起動させたいような時に便利であることだそうです。

「拒否」にした場合は、ハッカーからのMACアドレスの変更を防ぐことができます。

僕が構築作業をした際には「承諾」に設定にするパターンが多かったです。

偽装転送

偽装転送は、「MACアドレスのなりすましに対して保護するかしないか」という設定です。

「承諾」と「拒否」の設定の意味はこちらになります。

  • 承諾
    仮想マシンの構成ファイル(.vmxファイル)にて定義したMACアドレス以外に、仮想マシンにて作成したMACアドレスを送信元とするフレームの送信が可能。

  • 拒否
    仮想マシンの構成ファイル(.vmxファイル)にて定義したMACアドレスのみを送信元としたフレーム送信が可能。

デフォルト設定は**「承諾」**です。

「MACアドレス変更」が受信設定で、「偽装転送」は送信設定になります。

フレームの送信元(出どころ)を誤魔化すか誤魔化さないかの設定になります。

こちらも構築作業では「承諾」以外に設定したことがないです。

※設定理由についての記事がインターネット上に少ないと感じます。

参考記事

VMware vSwitchの安全なセキュリティ設定について
https://www.climb.co.jp/blog_vmware/vmware-5114

徹底攻略VCP6.5-DCV教科書 VMware vSphere 6.5対応 徹底攻略シリーズ
https://ebookjapan.yahoo.co.jp/books/438715/

最後に

本記事は調べながら書きました。

思ったこととしては、インターネット上に情報が少ないということです。

「無差別モード」は設定のメリットがわかりやすいのですが、「MACアドレス変更」や「偽装転送」については少しわかりづらいなと感じました。

VMware製品については、まだまだ勉強不足なところがあります。

これからも勉強していく中で気になった点等をアウトプットしていきたいと思います。

↓こちらもチェック頂けると嬉しいです!

僕のブログ
https://satton-infra.com/

Twitter
https://twitter.com/satton6987

note
https://note.com/satton56874

YouTube
https://www.youtube.com/channel/UCYaSYnagyhKzdOXK_RsiKiA

6
6
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
6
6

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?