仮想スイッチおよびポートグループの各レベルにおけるプロミスキャスモードの動作
search cancel

仮想スイッチおよびポートグループの各レベルにおけるプロミスキャスモードの動作

book

Article ID: 426518

calendar_today

Updated On:

Products

VMware vSphere ESXi VMware vCenter Server

Issue/Introduction

免責事項:これは英文の記事「How promiscuous mode works at the virtual switch and portgroup levels(324553)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

  • プロミスキャスモードは、vSphere ESX/ESXi において仮想スイッチ(vSwitch)またはポートグループのレベルで定義できるセキュリティポリシーです。
  • プロミスキャスモードの使用を許可しているポートグループに属する仮想マシン、Service Console、または VMkernel ネットワークインターフェースは、仮想スイッチを通過するすべてのネットワークトラフィックを参照できます。
  • 既定では、ゲスト OS の仮想ネットワークアダプタは自分宛てのフレームのみを受信します。ゲストのネットワークアダプタをプロミスキャスモードにすると、そのホスト上の仮想スイッチを通過するフレームのうち、関連するポートグループの VLAN ポリシーで許可される範囲のすべてのフレームを受信するようになります。これは、不正侵入検知(IDS)による監視や、スニファでネットワークセグメント上の全トラフィックを解析する必要がある場合に有用です。
  • 仮想スイッチまたはポートグループでプロミスキャスモードを許可する設定方法については、「仮想スイッチまたはポートグループでプロミスキャスモードを構成する」を参照してください。

Environment

VMware ESXi

Resolution

  • プロミスキャスモードをポートグループ レベルで有効化すると、そのポートグループ内で定義されたオブジェクトは、同一ホスト上の同一ポートグループに流入するすべての受信トラフィックを受信できるようになります。つまり、当該ポートグループ内のインターフェースおよび仮想マシンは、そのホスト上で当該ポートグループを通過するすべてのトラフィックを参照できますが、同一仮想スイッチ内の他のポートグループには影響しません。
  • プロミスキャスモードを仮想スイッチ レベルで有効化すると、vSwitch 内のすべてのポートグループは既定でプロミスキャスモードを許可する設定になります。ただし、vSwitch 内の特定のポートグループでプロミスキャスモードを明示的に無効化することができ、その場合は vSwitch で定義された既定値よりもポートグループ側の設定が優先されます。
  • 仮想マシン内のソフトウェアが、vSwitch またはポートグループで定義されたセキュリティポリシーに反してゲストのネットワークアダプタをプロミスキャスモードに設定しようとしている場合、当該仮想マシンで意図しないソフトウェアが稼働していないか調査が必要となることがあります。
  • 詳細については、「ESX/ESXi でプロミスキャス ネットワーク モードの使用を試みている仮想マシンを特定する」を参照してください。

Additional Information

注: プロミスキャス ポートグループに接続された任意の VM は、関連する仮想スイッチを通過するすべてのトラフィックを参照できます。プロミスキャスモードを vSwitch レベルで有効化する場合は、不要なポートグループでは明示的に無効化されていることを確認してください。

この設定は、以下のようなシナリオで有用です。

  • 特定のポートグループ上の全トラフィックを監視するために IDS/IPS ソリューションを導入する場合  
  • 特定の VM からの全ネットワークトラフィックをキャプチャする場合  
  • 複数の VM に対してポートミラーリングを使用する場合  
  • 1 つ以上のポートグループ上の全トラフィックを監視する場合  

サードパーティ製のトラフィック検査アプライアンスを導入する際は、ベンダーの公式な導入推奨事項およびベストプラクティスに従ってください。プロミスキャスモードを有効化するとトラフィックが複製され、追加の負荷が発生するため、性能低下につながる可能性があります。