تعیین سیاستهای امنیتی در سوئیچهای مجازی
یکی از دغدغه های اصلی در زمینه اجرای همزمان ماشین های مجازی در یک کلاستر تاثیر اجرای بارکاری هر ماشین بر ماشین دیگر است. ماشین های که در یک سوییچ قرار دارند با یکدیگر در ارتباط هستند و می توانند مخاطرات امنیتی برای سایر ماشین ها ایجاد کنند. از طریق تخصیص سیاست های امنیتی این امکان فراهم می شود تا ارتباط یک ماشین با ماشین دیگر کنترل شود. در این مقاله نحوه سیاست گذاری موارد امنیتی سوییچ های مجازی استاندارد VMware را بررسی می کنیم.
همانطور که در شکل مشاهده میکنید یک سوئیچ مجازی استاندارد (لایه 2) دارای سه مشخصه امنیتی است که به ترتیب 1- حالت بی قاعده (Promiscuous Mode) -2 تغییر مک آدرس (MAC Address Changes) 3- ارتباط جعلی (Forged Transmits) است.
این تنظیمات امکان برقراری ارتباط ماشینهای مجازی را در شبکه فراهم میکند و همچنین به آنها این امکان را میدهد تا ترافیکی را که به طور خاص به آنها ارسال نمیشود را دریافت نمایند. هر یک از این مشخصهها در بخش سوئیچ مجازی استاندارد یا پورت گروهی قابل تنظیم است:
حالت بی قاعده (Promiscuous Mode)
تنظیم پیش فرض این قسمت بر روی گزینه Reject است. در حالت Reject در صورتی که یک نرمافزار sniffing بر روی یکی از ماشینهای مجازی متصل به سوئیچ را اجرا نمایید، این نرمافزار تنها بستههایی را ضبط خواهد کرد که به آدرس آن ماشین ارسال شدهاند. به این صورت امکان ضبط بسته های ماشینهای دیگر وجود نخواهد داشت.
اما در صورتی که گزینه Promiscuous Mode را انتخاب کرده باشید تمامی بسته های ارسالی و دریافتی به سوئیچ مجازی توسط یک ماشین مجازیسازی قابل مشاهده خواهند بود.
تغییر مک آدرس (MAC Address Changes)
تنظیم پیش فرض این قسمت بر روی گزینه Accept است. اولین بار که یک ماشین مجازی روشن میشود یک مک آدرس توسط هسته مجازیسازی (در صورتی که ماشین مجازی به صورت Local بر روی میزبان ESXi ساخته شود) یا vCenter Server ساخته شده و به آن ماشین مجازی اختصاص داده میشود.
این آدرس در فایل تنظیمات VMX ماشین مجازی ثبت میشود. گاهی اوقات ممکن است ماشین مجازی نیاز به استفاده از یک مک آدرس دیگر جهت برقراری ارتباط داشته باشد برای مثال زمان ارائه سرویس کلاسترینگ Microsoft network load balance. در این شرایط ماشینهای کلاستر شده نیاز به استفاده از یک مک آدرس خاص NLB دارند که در هنگام ساخت کلاستر ایجاد میشود و این آدرس با مک آدرس تخصیص یافته به ماشینهای مجازی متفاوت است.
در صورت انتخاب گزینه Reject هیچ یک از ماشینهای مجازی متصل به سوئیچ مجازی امکان برقراری ارتباط با مک آدرسی متفاوت با آنچه در فایل VMX آنها ثبت شده است را نخواهند داشت و هر اقدامی در این جهت سبب عدم دریافت بستهها توسط ماشین مجازی میشود.
ارتباط جعلی (Forged Transmits)
تنظیم پیش فرض این قسمت بر روی گزینه Accept است. کاربرد این گزینه در بررسی مک آدرس فرستنده و مک آدرس واقعی دریافت شده است و در صورتی که بر روی گزینه Accept تنظیم شود سوئیچ مجازی مک آدرس فرستنده و مک آدرس واقعی را مقایسه یا بررسی نخواهد کرد. این قابلیت این امکان را فراهم میکند تا بسته های مک آدرسهایی که به ماشین های مجازی واقعی شما تعلق ندارند امکان عبور از شبکه را داشته باشند.
در صورت تغییر این گزینه به حالت Reject در زمانی که یک ماشین مجازی سعی بر برقراری ارتباط با مک آدرسی متفاوت با آنچه به آن تخصیص یافته است داشته باشد هسته مجازیسازی تمامی بستههای دریافتی از آن ماشین مجازی را حذف خواهد کرد.
با سلام…
با سلام
من يك سوال داشتم لطفا منو راهنمايي كنيد
من به تازگي چند سرور مجازي راه انداختم
بنا به دلايلي ميخوام يكي از سرورهام فقط از طريق يكي از كارت شبكه هاي فيزيكي با بيرون ارتباط داشته باشه.
چطور ميتونم اين تنظيم رو انجام بدم.
ساده است! کارت های شبکه را…
ساده است! کارت های شبکه را به سوییچ های متفاوت متصل کنید