2023年7月3日发(作者：)

说说ESXi虚拟交换机和端⼝组的“混杂模式”很多Up主在ESXi虚拟机软路由教程⾥都提到了ESXi虚拟交换机的安全⾥要设置“混杂模式”，但基本没有太详细说明什么是”混杂模式”，什么情况要开启“混杂模式”的，先给⾃⼰挖个坑，明天出玩回来写⼀下。游玩归来填坑～（时隔快⼀年，再次填坑。）在vSphere虚拟⽹络02 - 虚拟交换机中，我介绍过vSphere的两种虚拟交换机。标准和分布式。关于“混杂模式”的⽣效范围，两种虚拟交换机也是有所区别的。以标准虚拟交换机为例，虚拟交换机级别的安全下有“混杂模式”，虚拟交换机的端⼝组可以继承虚拟交换机的安全属性，也可以覆盖该安全属性。⽽分布式交换机的”混杂模式“则是作⽤在端⼝组和端⼝级别。PS: 另外的两种安全策略“MAC地址更改”和“伪传输”和“混杂模式”是同理的。可参照官⽅⽂档 安全策略，在《关于vSphere⽹络连接》这个⽂档中。关于混杂模式的解释：混杂模式会清除虚拟机适配器执⾏的任何接收筛选，以便客户机操作系统接收在⽹络上观察到的所有流量。默认情况下，虚拟机适配器不能在混杂模式中运⾏。尽管混杂模式对于跟踪⽹络活动很有⽤，但它是⼀种不安全的运⾏模式，因为混杂模式中的任何适配器均可访问数据包，即使某些数据包是否仅由特定的⽹络适配器接收也是如此。这意味着虚拟机中的管理员或根⽤户可以查看发往其他客户机或主机操作系统的流量。注：有时您可能确实需要将标准虚拟交换机或分布式虚拟交换机配置为在混杂模式中运⾏（例如运⾏⽹络⼊侵检测软件或数据包嗅探器时）。物理交换机是⼀个点对点的设备，它维护⼀个连接到到它上⾯的设备的MAC地址表。所以它可以实现只把数据送达到指定MAC地址的设备所连接的端⼝。虚拟交换机在这⽅⾯也是同理。在虚拟交换机默认不开启混杂模式时，举个例⼦，假设vSwitch0交换机下有两个端⼝组，端⼝组1下有若⼲Windows虚拟机⽤于员⼯办公使⽤，端⼝组2下⼀台Linux虚拟机，管理员⽤来进⾏⼀些⽹络分析。当我们在端⼝组2的Linux虚拟机上安装Wireshark之类的抓包⼯具时，只能抓取到发送到此台Linux虚拟机的数据包（上⾯提到的点对点），⽽抓取不到端⼝组1中的Windows虚拟机之间的数据包或者外界发到Windows虚拟机的数据包，也就是说Wireshark此时是不能远程抓包的。我们可以对vSwitch0开启混杂模式，或者对端⼝组2开启混杂模式。推荐对端⼝组开启，授予权限或安全策略时，⼀般建议遵守最⼩化原则。当端⼝组2开启混杂模式时，Linux虚拟机就可以抓取vSwitch0上所有数据包了。这意味着虚拟机中的管理员或根⽤户可以查看发往其他客户机或主机操作系统的流量。⼀个相对易懂的描述就是，混杂模式所做的就是将通过此虚拟交换机的数据流量开放给开启了混杂模式的端⼝组下⾯所连接的虚拟机可见。（所以如果是整个虚拟交换机开启混杂模式，就是此虚拟交换机所有流量开放给虚拟交换机下的所有虚拟机都可见。）如果想尝试上述实验，可以照此创建实验环境，使⽤Wireshark或者tcpdump在Linux虚拟机上尝试抓取Windows虚拟机的数据包。记得修改混杂模式后重启下虚拟机。