在与客户的一次会面中,当我讨论如何在 IOChain 中处理虚拟机和交换机之间的数据包时,有人问我一个难倒我的问题......插槽 3 会发生什么?
众所周知,IOchain 中的前 4 个和后 3 个插槽是为 VMware 保留的,插槽 4-12 是为插入服务(或重定向流量)的第三方保留的。
在我的讨论中,我只谈到过插槽 0-2 和 4-12.....
在对NSBU SE进行了大量挖掘和质疑之后,我被告知除了可能是VMware保留的插槽以供将来使用之外,没有真正的答案。=)
还值得注意的是,插槽 15 曾经被归类为“保留插槽以备将来使用”,但现在打算在可用时用于分布式网络加密(加密是 IOChain 上离开 VM 的数据包发生的最后一件事,而解密是进入 VM 的数据包的第一个事情)。
无论如何,决定可能值得写关于IOChain插槽的博客。=)
因此,当虚拟机连接到逻辑交换机时,每个数据包都会交叉多个安全服务,这些服务在 vSphere 内核中作为 IOChains 处理实现。
插槽 0:DVFilter – 分布式虚拟过滤器监控受保护 vNIC 上的入口/出口流量,并执行无状态筛选和 ACL。
插槽 1:vmware-swsec – 交换机安全模块学习虚拟机的 IP/MAC 地址,并从虚拟机捕获任何 DHCP 确认或 ARP 广播,将请求重定向到 NSX 控制器 – 这是 ARP 抑制功能。此插槽也是实施 NSX IP 欺骗防护的位置。
插槽 2:vmware-sfw – 这是 NSX 分布式防火墙所在的位置,也是存储和实施 DFW 规则的位置(即防火墙规则和连接表)。
插槽 3:保留供 VMware 将来使用
插槽 4-12:第三方服务 – 这是将流量重定向到第三方服务设备的位置
插槽 13-14:保留供 VMware 将来使用
插槽 15:分布式网络加密(当它可用时)
文章评论