vmkernel.log ファイルに記録されるログの例:

cpu#:cccc)etherswitch: L2Sec_EnforcePortCompliance: client <vmname> requested mac address change to <mac> on port 0x# #######, disallowed by vswitch policy
cpu#:cccc)etherswitch: L2Sec_EnforcePortCompliance: client <vmname> has policy violations on port 0x#######. Port is blocked

「net-dvs -l」コマンドの出力には、有効なパラメータが表示されます: deny mac change および Allow Mac Change = False

    com.vmware.vswitch.port.security = deny promiscuous; deny mac change; deny forged frames
            propType = POLICY
    com.vmware.vswitch.port.macManagement:
            Allow MAC Change = False
            MAC Learning = False
            Unknown Unicast Flooding = False
            MAC Limit = 4096
            MAC Limit Policy = ALLOW
            propType = CONFIG

この状況は、vCenter 8.0 の「MAC ラーニング構成」機能で導入されました。

vSphere UI では設定が正常に適用されているように見えますが、ホスト自体には正しく反映されていないため、実質的には「拒否」に設定されています。そのため、仮想マシン内のゲスト OS またはアプリケーションがポリシーに関連する動作（MAC アドレスの変更要求など）を行うと、違反として検出され、仮想マシンのポートがブロックされます。

この問題は、ESXi 8.0 Update 2b - ビルド 23305546 で解決されています。

ESXi 8.0 Update 2b - Build 23305546 リリース ノート

• PR 3308461：MAC アドレスの学習がアクティブでない場合、vSphere Distributed Switch (VDS) に新しく追加されたポートがブロック状態になることがある
  Distributed Switch で MAC アドレスの学習がアクティブでない場合、ゲスト OS から仮想マシンの MAC アドレスを新しいプロキシ スイッチ ポートに変更すると、[MAC アドレスの変更] オプションが [承諾] に設定されていても、新しく追加されたポートが L2 違反エラーが原因でブロック状態になることがあります。この問題は、Distributed Switch で MAC アドレスの学習がアクティブでない場合にのみ発生します。
  本リリースで、この問題は修正されました。

回避策:
仮想標準スイッチ (vSS) を使用します。

影響/リスク:
この問題は、vCenter 8.0 Update 2b - ビルド 23305546 より前のバージョンへのアップグレード後（または新規インストール後）に作成または変更され、MAC ラーニングが無効に設定されている分散ポートグループにのみ影響します。