- VMware
- VMware vCenter Server (VCSA), VMware vSphere
- 03 janvier 2025 à 13:40
-
Lorsque vous utilisez un commutateur virtuel distribué (vDS), vous avez la possibilité de bloquer du trafic grâce au filtrage et au balisage du trafic. Ce qui permet de sécuriser vos machines virtuelles et/ou vos services au niveau du réseau virtuel plutôt que d'utiliser un logiciel tiers sur vos machines virtuelles ou serveurs virtuels.
- Activer le filtrage et le balisage du trafic
- Test du ping entre nos machines virtuelles
- Bloquer un trafic réseau
1. Activer le filtrage et le balisage du trafic
Pour activer le filtrage et le balisage du trafic sous VMware vCenter Server (VCSA) 6.7, sélectionnez le groupe de ports (distribués ou de liaisons montantes) souhaité et allez dans : Configurer -> Paramètres -> Filtrage et balisage du trafic.
Comme vous pouvez le voir, par défaut, le filtrage et le balisage du trafic est désactivé.
Pour l'activer, cliquez d'abord sur le bouton : Activer et réorganiser.
Dans la fenêtre "Activer et réorganiser les règles de trafic" qui apparaît, cliquez sur le switch "Activer toutes les règles de trafic" pour que celui-ci apparaisse en vert.
Ensuite, cliquez sur OK.
Notez que vous pourrez changer l'ordre des règles de trafic plus tard si vous le souhaitez en utilisant les boutons "Monter" et "Descendre" qui sont grisés pour le moment.
2. Test du ping entre nos machines virtuelles
Pour ce tutoriel, nous créerons une règle de trafic pour bloquer le ping (dont le protocole associé est : ICMP).
Comme vous pouvez le voir, dans notre cas, nous possédons un commutateur virtuel distribué "MyDSwitch" avec un groupe de ports distribués "DPortGroup_VMs" où nous venons d'activer le filtrage et le balisage du trafic et sur lequel sont connectées nos machines virtuelles sous Windows 10.
Néanmoins, pour le moment, il n'y a aucune règle de trafic définie. Donc, tout est autorisé.
La 1ère machine virtuelle sous Windows 10 possède l'adresse IP : 10.0.0.21.
La 2ème machine virtuelle sous Windows 10 possède l'adresse IP : 10.0.0.22.
Comme vous pouvez le voir, pour le moment, le ping fonctionne entre nos 2 machines virtuelles sous Windows 10.
3. Bloquer un trafic réseau
Pour bloquer une partie du trafic réseau, sélectionnez le groupe de ports souhaité et retournez dans : Configurer -> Paramètres -> Filtrage et balisage du trafic.
Comme vous pouvez le voir, le message "Le filtrage et le balisage du trafic est activé" apparait.
Cliquez sur : Ajouter.
Dans la fenêtre "Nouvelle règle de trafic" qui apparait, vous pourrez spécifier :
- Nom : le nom sous lequel cette règle de trafic apparaitra dans la liste.
- Action :
- Autoriser : autoriser le trafic réseau souhaité.
- Annuler : bloquer le trafic réseau souhaité.
- Balise : permet de baliser le trafic réseau souhaité pour créer des règles de QoS (qualité de service) grâce à des balises CoS (couche 2) ou DSCP (couche 3).
- Sens du trafic :
- Entrée/Sortie : bloque le trafic entrant et sortant du commutateur virtuel distribué (vDS).
- Sortie : bloque uniquement le trafic sortant du commutateur virtuel distribué (vDS).
- Entrée : bloque uniquement le trafic entrant dans le commutateur virtuel distribué (vDS).
- Qualificateurs de trafic :
- IP : permet de spécifier une condition en fonction :
- d'un protocole : ICMP, IPv6-ICMP, TCP ou UDP.
Si vous sélectionnez le protocole TCP ou UDP, vous pourrez spécifier un numéro de port source et/ou de destination.
Ce qui peut vous permettre de bloquer l'accès à un site web (en bloquant les ports TCP 80 et 443), à un serveur FTP (en bloquant le port TCP 21), ... - d'une adresse IPv4 ou IPv6 source.
- d'une adresse IPv4 ou IPv6 de destination.
- d'un protocole : ICMP, IPv6-ICMP, TCP ou UDP.
- MAC : permet de spécifier une condition en fonction :
- d'un type de trafic réseau : IPv4, IPv6 ou ARP.
- d'un ID de VLAN
- d'une adresse MAC source.
- d'une adresse MAC de destination.
- Trafic système : permet de spécifier une condition en fonction du type de trafic système détecté (gestion, vMotion, ...).
Notez que cela correspond au trafic entrant sur les groupes de ports distribués et au trafic sortant sur les groupes de ports de liaison montante.
- IP : permet de spécifier une condition en fonction :
Pour bloquer le ping, configurez la règle de trafic comme ceci :
- Nom : Bloquer le ping.
- Action : Annuler.
- Sens du trafic : Entrée/Sortie.
- dans la section "IP", cochez la case "Activer le qualificateur et configurez ces options :
- Numéro de protocole est ICMP (1).
- Adresse IP source : quelconque / IPv4 ou IPv6.
- Adresse IP de destination : quelconque / IPv4 ou IPv6.
Ensuite, cliquez sur OK.
La règle de trafic créée apparait.
Comme vous pouvez le voir, le ping ne fonctionne plus entre nos 2 machines virtuelles sous Windows 10.
Comme vous l'indique la commande ping, les 4 paquets envoyés ont été perdus.
Partager ce tutoriel
A voir également
-
VMware 28/9/2022
VMware ESXi 6.7 - Joindre l'hyperviseur à un domaine Active Directory
-
VMware 21/10/2022
VMware ESXi 6.7 - Utiliser un contrôleur SCSI paravirtuel (PVSCSI)
-
VMware 10/5/2024
VMware vSphere 6.7 - Etendre un disque dur virtuel (SE invité Linux LVM)
-
VMware 28/6/2024
VMware vSphere 6.7 - Tâches et événements
Vous devez être connecté pour pouvoir poster un commentaire