在管理ESXi主机的NIC安全设置时,需结合硬件配置与虚拟化层策略。以下为实践中的关键点及挑战:
-
安全策略配置
- 通过vSphere Client为端口组设置安全策略,包括混杂模式(默认拒绝)、MAC地址更改(建议禁止)、伪传输(关闭)。生产环境中,若需允许MAC地址更改(如嵌套虚拟化场景),需配合防火墙规则限制。
- VLAN隔离需严格划分,曾遇因VLAN ID重叠导致虚拟机跨网段通信,后通过vDS的私有VLAN功能解决。
-
物理层加固
- 固件更新常被忽视。某案例中,旧版Broadcom网卡驱动存在ARP欺骗漏洞,通过ESXi CLI使用
esxcli software vib update更新驱动后缓解。 - 启用SR-IOV时需在BIOS/UEFI开启VT-d并配置IOMMU,但需权衡性能与安全(直通设备绕过vSwitch安全策略)。
- 固件更新常被忽视。某案例中,旧版Broadcom网卡驱动存在ARP欺骗漏洞,通过ESXi CLI使用
-
流量加密与认证
- VMkernel网络启用SSL/TLS(如vMotion流量),但证书管理复杂度高,曾因自签名证书过期导致HA集群中断。
- 采用802.1X认证物理网卡,需在交换机组配置Radius服务器,调试时因交换机端口模式(access/trunk)不匹配导致ESXi主机失联。
-
监控与合规
- 通过vRealize Network Insight分析异常流量模式,曾发现某虚拟机因恶意软件触发混杂模式告警。
- 合规检查使用PowerCLI脚本定期验证配置,如
Get-VirtualPortGroup -Name "Production" | Select SecurityPolicy比对基线。
典型挑战
- 策略冲突:NSX分布式防火墙与vSwitch安全策略叠加时,出现过规则冲突导致流量丢弃,需通过流量抓包(
pktcap-uw工具)逐层排查。 - 性能损耗:启用IPSec加密vSAN流量导致CPU利用率上升20%,最终采用专用QAT卡卸载加解密任务。
- 混合模式管理:跨版本集群中(如ESXi 6.7与7.0并存),部分安全参数不兼容,需统一升级或创建版本化配置模板。