随着在系统配置中越来越多地采用虚拟化,主机管理员可能对来宾虚拟机 (virtual machine, VM) 授予对某物理或虚拟链路的独占访问权限。这种配置可以将虚拟环境的网络通信流量与主机系统接收或发送的更广泛的通信流量隔离开来,从而提高网络性能。同时,这种配置会使系统和整个网络暴露于来宾环境可能生成的有害包,带来一定的风险。
链路保护旨在防止潜在的恶意来宾 VM 可能对网络造成损害。该功能提供了针对以下基本威胁的保护:
IP、DHCP 和 MAC 欺骗
L2 帧欺骗,例如网桥协议数据单元 (Bridge Protocol Data Unit, BPDU) 攻击