MAC-Adressen und andere Einstellungen

vSphere 6.5

| Autor: Thomas Joos

Pixabay.com
Pixabay.com (Pixabay.com)

Neben den üblichen Sicherheitseinstellungen Ihrer virtuellen Switches, macht es Sinn, dass Sie den Datenverkehr über VLANs voneinander trennen. Vor allem wenn Sie Netzwerkspeicher anbinden, zum Beispiel iSCSI oder NFS, kann es sinnvoll sein, dass Sie mit verschiedenen virtuellen Switches und verschiedenen Netzwerk-Adaptern arbeiten.

Standardmäßig arbeitet vSphere mit der eindeutigen Zuweisung von MAC-Adressen an jeden virtuellen Netzwerkadapter. Diese Adresse lässt sich nur in der Netzwerkkonfiguration von vSphere anpassen, nicht durch die VM selbst. Wichtige Einstellung dazu finden Sie in den Eigenschaften von virtuellen Switches.

Zusätzlich gibt es auch eine MAC-Adresse, die das virtuelle Betriebssystem in der VM verwaltet. Dieses entspricht normalerweise der MAC-Adresse, die der VM durch vSphere zugewiesen wurde. In den Datenpaketen der VM wird die jeweilige MAC-Adresse hinterlegt, sodass der empfangene Datenverkehr gefiltert werden kann. Hier kann überprüft werden, ob der eingehende Datenverkehr zur MAC-Adresse des virtuellen Netzwerkadapters passt. Um die Sicherheit von MAC-Adressen zu gewährleisten, können Sie in den Sicherheits-Einstellungen der virtuellen Switch festlegen, dass MAC-Adressänderungen nicht erlaubt sind.

Hier müssen Sie vor allem darauf achten, dass sich nicht versehentlich Fälschungen oder identische MAC-Adressen einschleichen. Gibt es im Netzwerk zum Beispiel Netzwerkadapter mit identischen MAC-Adressen, akzeptieren VMs standardmäßig den Datenverkehr der von diesen Adaptern stand, da die MAC-Adresse mit der lokalen MAC-Adresse übereinstimmt. Wollen Sie das nicht, können Sie in den Sicherheitseinstellungen von virtuellen Switches die gefälschten Übertragungen deaktivieren.

Eine besonders wichtige Einstellung betrifft den „Promiscuous Modus“ in den Sicherheitseinstellungen von virtuellen Switches.  Aktivieren Sie diese Funktion, werden alle Sicherheit-Empfangsfilter einer virtuellen Switch deaktiviert, und die virtuelle Switch empfängt und akzeptiert jeglichen Datenverkehr. In einer sicheren Umgebung sollten Sie daher darauf achten, dass diese Funktion immer deaktiviert ist.

Der Modus ist notwendig, wenn Sie in einer VM eine Netzwerk-Überwachungslösung installieren. Hier ist es notwendig, dass jeder Datenverkehr empfangen werden kann, damit die Lösung das Netzwerk überwachen kann. Wenn Sie diesen Modus für eine bestimmte VM benötigen, sollten Sie unter Umständen prüfen, ob es sinnvoll sein kann einen eigenen virtuellen Switch anzulegen.