在說說ESXi虛擬交換機(jī)和端口組的“混雜模式”文章中提到過“MAC地址更改”和“偽傳輸”安全策略州叠。作用范圍和“混雜模式”是一樣的。
這兩個策略分別是做什么的呢匈庭?
先了解一些基本概念。
一個物理網(wǎng)卡的ROM中存儲著它的MAC地址梳玫,不可更改泻云,叫做“初始MAC地址”。
而在操作系統(tǒng)中锅减,比如Windows脆诉,該網(wǎng)卡也有個MAC地址甚亭,叫做“有效MAC地址”贷币,它是可以通過網(wǎng)卡屬性或者注冊表修改的。
在默認(rèn)情況下亏狰,初始MAC地址和有效MAC地址是相同的役纹,除非用戶修改,修改后暇唾,通過物理網(wǎng)卡發(fā)送到網(wǎng)絡(luò)上的幀字管,源MAC地址就是修改后的“有效MAC地址”,不同于固化的“初始MAC地址”信不。
虛擬網(wǎng)卡也有類似概念嘲叔,固化的“初始MAC地址”就是在虛擬機(jī)VMX文件中的MAC地址,(ESXi管理員可以修改它抽活,但對虛擬機(jī)系統(tǒng)來說硫戈,它是固化不可修改的)。而虛擬機(jī)系統(tǒng)中的網(wǎng)卡MAC地址下硕,就是“有效MAC地址”丁逝,同樣可以修改。這些MAC地址梭姓,vSphere/ESXi自然都是知道的霜幼。
MAC地址更改
ESXi知曉虛擬機(jī)的“初始MAC地址”和“有效MAC地址”,當(dāng)兩者不同時誉尖,需要執(zhí)行相應(yīng)的安全策略:
拒絕:此VM修改了MAC地址罪既,它是想冒充別的VM嗎?我把它的端口禁用掉铡恕。
允許:我知道VM修改了MAC地址琢感,并啟用它的端口。
此時探熔,執(zhí)行策略的是虛擬交換機(jī)驹针,雖然我們說禁用了端口,但其實虛擬機(jī)OS本身是不知道的诀艰,因為并非在物理層或鏈路層斷開網(wǎng)卡柬甥,而是丟棄了發(fā)給這個虛擬機(jī)OS的幀。
偽傳輸
MAC地址更改是修改“有效MAC地址”其垄,此時通過此網(wǎng)卡向外傳輸?shù)膸脑碝AC地址也隨著“有效MAC地址”修改了苛蒲。還有些惡意軟件,它不修改“有效MAC地址”捉捅,直接修改向外傳輸?shù)膸脑碝AC地址撤防。偽傳輸這個策略檢查的就是源MAC是否和“有效MAC地址”一致虽风。
拒絕:當(dāng)惡意軟件修改了源MAC地址(偽造傳輸),該虛擬機(jī)的虛擬網(wǎng)卡就會刪除該幀棒口。但會允許沒偽造的幀傳輸出去寄月。
允許:隨便什么源MAC,隨便發(fā)无牵。
此時漾肮,執(zhí)行策略的是虛擬網(wǎng)卡。
兩個策略的區(qū)別:
MAC地址更改比較的是“有效MAC地址”和“初始MAC地址”茎毁,方向是入站(從外界向虛擬機(jī)網(wǎng)卡傳輸?shù)膸┛税茫鴤蝹鬏敱容^的是“源MAC”和“有效MAC地址”,方向是出站(從虛擬機(jī)網(wǎng)卡向外界發(fā)送的幀)七蜘。前者是斷開入站的端口谭溉,后者是過濾出站的偽傳輸幀。
這兩個安全策略可以通過類似“網(wǎng)絡(luò)執(zhí)法官”之類的應(yīng)用配合ARP和PING命令來驗證橡卤。
參考文檔:
