说说ESXi虚拟交换机和端口组的“混杂模式”
很多Up主在ESXi虚拟机软路由教程里都提到了ESXi虚拟交换机的安全里要设置“混杂模式”,但基本没有太详细说明什么是”混杂模式”,什么情况要开启“混杂模式”的,先给自己挖个坑,明天出玩回来写一下。
游玩归来填坑~(时隔快一年,再次填坑。)
在vSphere虚拟网络02 - 虚拟交换机中,我介绍过vSphere的两种虚拟交换机。标准和分布式。关于“混杂模式”的生效范围,两种虚拟交换机也是有所区别的。以标准虚拟交换机为例,虚拟交换机级别的安全下有“混杂模式”,虚拟交换机的端口组可以继承虚拟交换机的安全属性,也可以覆盖该安全属性。而分布式交换机的”混杂模式“则是作用在端口组和端口级别。PS: 另外的两种安全策略“MAC地址更改”和“伪传输”和“混杂模式”是同理的。可参照官方文档 安全策略,在《关于vSphere网络连接》这个文档中。
关于混杂模式的解释:
混杂模式会清除虚拟机适配器执行的任何接收筛选,以便客户机操作系统接收在网络上观察到的所有流量。默认情况下,虚拟机适配器不能在混杂模式中运行。
尽管混杂模式对于跟踪网络活动很有用,但它是一种不安全的运行模式,因为混杂模式中的任何适配器均可访问数据包,即使某些数据包是否仅由特定的网络适配器接收也是如此。这意味着虚拟机中的管理员或根用户可以查看发往其他客户机或主机操作系统的流量。
注:有时您可能确实需要将标准虚拟交换机或分布式虚拟交换机配置为在混杂模式中运行(例如运行网络入侵检测软件或数据包嗅探器时)。
物理交换机是一个点对点的设备,它维护一个连接到到它上面的设备的MAC地址表。所以它可以实现只把数据送达到指定MAC地址的设备所连接的端口。
虚拟交换机在这方面也是同理。
在虚拟交换机默认不开启混杂模式时,举个例子,假设vSwitch0交换机下有两个端口组,端口组1下有若干Windows虚拟机用于员工办公使用,端口组2下一台Linux虚拟机,管理员用来进行一些网络分析。当我们在端口组2的Linux虚拟机上安装Wireshark之类的抓包工具时,只能抓取到发送到此台Linux虚拟机的数据包(上面提到的点对点),而抓取不到端口组1中的Windows虚拟机之间的数据包或者外界发到Windows虚拟机的数据包,也就是说Wireshark此时是不能远程抓包的。
我们可以对vSwitch0开启混杂模式,或者对端口组2开启混杂模式。推荐对端口组开启,授予权限或安全策略时,一般建议遵守最小化原则。
当端口组2开启混杂模式时,Linux虚拟机就可以抓取vSwitch0上所有数据包了。
这意味着虚拟机中的管理员或根用户可以查看发往其他客户机或主机操作系统的流量。
一个相对易懂的描述就是,混杂模式所做的就是将通过此虚拟交换机的数据流量开放给开启了混杂模式的端口组下面所连接的虚拟机可见。(所以如果是整个虚拟交换机开启混杂模式,就是此虚拟交换机所有流量开放给虚拟交换机下的所有虚拟机都可见。)
如果想尝试上述实验,可以照此创建实验环境,使用Wireshark或者tcpdump在Linux虚拟机上尝试抓取Windows虚拟机的数据包。记得修改混杂模式后重启下虚拟机。
说说ESXi虚拟交换机和端口组的“混杂模式”相关推荐
- 说说ESXi虚拟交换机和端口组的“MAC地址更改”和“伪传输”
在说说ESXi虚拟交换机和端口组的"混杂模式"文章中提到过"MAC地址更改"和"伪传输"安全策略.作用范围和"混杂模式" ...
- ESXi 虚拟交换机安全策略
ESXi 虚拟交换机的安全策略 关于ESXi 的虚拟化平台,相信是大家在日常的生产以及测试环境中经常要用到的虚拟化平台.那么今天我们就来看一下在ESXi里面的虚拟交换机的安全策略应该怎样设置. 这里我 ...
- 华为交换机命令 端口速率_附录5:如何设置交换机的端口速率、双工模式.doc
附录5:如何设置交换机的端口速率.双工模式 附录5:如何设置交换机的端口速率.双工模式1 附录6:如何关闭交换机的生成树协议及启用端口快速4 附录7:如何设置路由器.交换机的组播7 附录5:如何设置交 ...
- ESXI 虚拟交换机配置 Trunk 端口组
背景介绍 ESXI 标准 vSwitch 支持自定义 VLAN ID,以实现网络隔离! 根据 VLAN ID 的不同,可分为三种网络: VLAN ID 0 阻止任何携带了 VLAN tag 的数据包 ...
- 让VMware ESXi虚拟交换机支持VLAN
目前虚拟化应用比较广泛,通常情况下,一台物理主机在安装VMware ESXi或Hyper-V虚拟机软件后,可以在一台物理主机上创建多个虚拟机,并且创建的每个虚拟机可以像原来的物理一样对外提供服务,这无 ...
- esxi 虚拟交换机上行链路_【热门技术】网络虚拟化的基石交换机堆叠与集群
点击蓝字关注我们 //一 交换机的堆叠iStack和集群CSS 1- iStack iStack,全称Intelligent Stack--智能堆叠,是指将多台支持堆叠特性的交换机设备组合在一起,从逻 ...
- 理解vSphere虚拟交换机中的VLAN类型
VMware vSphere虚拟机交换机支持四种VLAN类型,分别是:无.VLAN.VLAN中继.专用VLAN. 在路由/交换领域,VLAN的中继端口叫做Trunk.Trunk技术用在交换机之间互连, ...
- VMware vSphere 虚拟交换机绑定和故障切换策略
当我们在vCenter中创建虚拟交换机的时候,会有一个设置选项是:绑定和故障切换策略,如下图: 下面详细介绍各项策略: 一.网卡成组策略 可以使用网卡成组将虚拟交换机连接至主机上的多个物理网卡,以 ...
- Cisco 交换机配置端口镜像
Cisco 交换机配置端口镜像 命令 全局模式下<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:of ...
最新文章
- mysql innodb 1017_MySQL InnoDB表压缩
- 如何在github存储库中添加屏幕截图到README?
- OpenCV使用霍夫变换进行寻线的实例(附完整代码)
- 以云战“疫”,这次阿里云又让人们惊了……
- TensorFlow 教程 --教程--2.2 数据准备
- oracle v$sysstat性能视图
- Android秒级编译Freeline的使用(Android Studio)
- 轻松掌握namedtuple
- [07.08]密西绿色精品软件每日更新[西空整理]
- 中望cad文字显示问号怎么办_中望CAD图纸显示乱码?如何快速解决字体问题
- php 生成 rtf,PHP 生成Word文档,ODT文档,RTF文档
- LayoutTransiton实现简单的录制按钮
- YOLO9000, Better, Faster, Stronger论文翻译——中英文对照
- 一个nginx使用同一端口不同域名代理到不同网站
- 【Blender】问题记录001--用grease pencil画线条时一节一节不连贯的原因
- 好网线与坏网线的区别,教你几招鉴别技巧
- k8s在华为openeuler搭建
- idea evaluation license has expired 解决办法
- Flutter之Card组件
- 制作大白菜U盘启动盘及4G以上镜像