رفتن به محتوای اصلی
vSwitch Security Settings

تعیین سیاست‌های امنیتی در سوئیچ‌های مجازی

یکی از دغدغه های اصلی در زمینه اجرای همزمان ماشین های مجازی در یک کلاستر تاثیر اجرای بارکاری هر ماشین بر ماشین دیگر است. ماشین های که در یک سوییچ قرار دارند با یکدیگر در ارتباط هستند و می توانند مخاطرات امنیتی برای سایر ماشین ها ایجاد کنند. از طریق تخصیص سیاست های امنیتی این امکان فراهم می شود تا ارتباط یک ماشین با ماشین دیگر کنترل شود. در این مقاله نحوه سیاست گذاری موارد امنیتی سوییچ های مجازی استاندارد VMware را بررسی می کنیم. 

همان‌طور که در شکل مشاهده می‌کنید یک سوئیچ مجازی استاندارد (لایه 2) دارای سه مشخصه امنیتی است که به ترتیب 1- حالت بی قاعده  (Promiscuous Mode) -2 تغییر مک آدرس  (MAC Address Changes)  3- ارتباط جعلی (Forged Transmits) است.

 

این تنظیمات امکان برقراری ارتباط ماشین‌های مجازی را در شبکه فراهم می‌کند و همچنین به آن‌ها این امکان را می‌دهد تا ترافیکی را که به طور خاص به آن‌ها ارسال نمی‌شود را دریافت نمایند. هر یک از این مشخصه‌ها در بخش سوئیچ مجازی استاندارد یا پورت گروهی قابل تنظیم است:


حالت بی قاعده  (Promiscuous Mode)


تنظیم پیش فرض این قسمت بر روی گزینه Reject است. در حالت Reject در صورتی که یک نرم‌افزار sniffing بر روی یکی از ماشین‌های مجازی متصل به سوئیچ را اجرا نمایید، این نرم‌افزار تنها بسته‌هایی را ضبط خواهد کرد که به آدرس آن ماشین ارسال شده‌اند. به این صورت امکان ضبط بسته های ماشین‌های دیگر وجود نخواهد داشت.

اما در صورتی که گزینه Promiscuous Mode را انتخاب کرده باشید تمامی بسته های ارسالی و دریافتی به سوئیچ مجازی توسط یک ماشین مجازی‌سازی قابل مشاهده خواهند بود.

 

تغییر مک آدرس  (MAC Address Changes)


تنظیم پیش فرض این قسمت بر روی گزینه Accept است. اولین بار که یک ماشین مجازی روشن می‌شود یک مک آدرس توسط هسته مجازی‌سازی (در صورتی که ماشین مجازی به صورت Local بر روی میزبان ESXi ساخته شود) یا  vCenter Server ساخته شده و به آن ماشین مجازی اختصاص داده می‌شود.

این آدرس در فایل تنظیمات  VMX ماشین مجازی ثبت می‌شود. گاهی اوقات ممکن است ماشین مجازی نیاز به استفاده از یک مک آدرس دیگر جهت برقراری ارتباط داشته باشد برای مثال زمان ارائه سرویس کلاسترینگ Microsoft network load balance. در این شرایط ماشین‌های کلاستر شده نیاز به استفاده از یک مک آدرس خاص NLB دارند که در هنگام ساخت کلاستر ایجاد می‌شود و این آدرس با مک آدرس تخصیص یافته به ماشین‌های مجازی متفاوت است.

در صورت انتخاب گزینه Reject هیچ یک از ماشین‌های مجازی متصل به سوئیچ مجازی امکان برقراری ارتباط با مک آدرسی متفاوت با آنچه در فایل VMX آن‌ها ثبت شده است را نخواهند داشت و هر اقدامی در این جهت سبب عدم دریافت بسته‌ها توسط ماشین مجازی می‌شود.


ارتباط جعلی  (Forged Transmits)


تنظیم پیش فرض این قسمت بر روی گزینه Accept است. کاربرد این گزینه در بررسی مک آدرس فرستنده و مک آدرس واقعی دریافت شده است و در صورتی که بر روی گزینه Accept تنظیم شود سوئیچ مجازی مک آدرس فرستنده و مک آدرس واقعی را مقایسه یا بررسی نخواهد کرد. این قابلیت این امکان را فراهم می‌کند تا بسته های مک آدرس‌هایی که به ماشین های مجازی واقعی شما تعلق ندارند امکان عبور از شبکه را داشته باشند.
در صورت تغییر این گزینه به حالت Reject در زمانی که یک ماشین مجازی سعی بر برقراری ارتباط با مک آدرسی متفاوت با آنچه به آن تخصیص یافته است داشته باشد هسته مجازی‌سازی تمامی بسته‌های دریافتی از آن ماشین مجازی را حذف خواهد کرد. 
 

2 دیدگاه‌

با سلام
من يك سوال داشتم لطفا منو راهنمايي كنيد
من به تازگي چند سرور مجازي راه انداختم
بنا به دلايلي ميخوام يكي از سرورهام فقط از طريق يكي از كارت شبكه هاي فيزيكي با بيرون ارتباط داشته باشه.

چطور ميتونم اين تنظيم رو انجام بدم.

افزودن دیدگاه جدید

محتوای این فیلد خصوصی است و به صورت عمومی نشان داده نخواهد شد.

کد HTML محدود

  • تگ‌های HTML مجاز: <a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type='1 A I'> <li> <dl> <dt> <dd> <h2 id='jump-*'> <h3 id> <h4 id> <h5 id> <h6 id>
  • خطوط و پاراگراف‌ها بطور خودکار اعمال می‌شوند.
  • نشانی‌های وب و پست الکترونیکی به صورت خودکار به پیوند‌ها تبدیل می‌شوند.