说说ESXi虚拟交换机和端口组的“混杂模式”

很多Up主在ESXi虚拟机软路由教程里都提到了ESXi虚拟交换机的安全里要设置“混杂模式”，但基本没有太详细说明什么是”混杂模式”，什么情况要开启“混杂模式”的，先给自己挖个坑，明天出玩回来写一下。

游玩归来填坑～(时隔快一年，再次填坑。)

在vSphere虚拟网络02 - 虚拟交换机中，我介绍过vSphere的两种虚拟交换机。标准和分布式。关于“混杂模式”的生效范围，两种虚拟交换机也是有所区别的。以标准虚拟交换机为例，虚拟交换机级别的安全下有“混杂模式”，虚拟交换机的端口组可以继承虚拟交换机的安全属性，也可以覆盖该安全属性。而分布式交换机的”混杂模式“则是作用在端口组和端口级别。PS: 另外的两种安全策略“MAC地址更改”和“伪传输”和“混杂模式”是同理的。可参照官方文档 安全策略，在《关于vSphere网络连接》这个文档中。

关于混杂模式的解释：

混杂模式会清除虚拟机适配器执行的任何接收筛选，以便客户机操作系统接收在网络上观察到的所有流量。默认情况下，虚拟机适配器不能在混杂模式中运行。

尽管混杂模式对于跟踪网络活动很有用，但它是一种不安全的运行模式，因为混杂模式中的任何适配器均可访问数据包，即使某些数据包是否仅由特定的网络适配器接收也是如此。这意味着虚拟机中的管理员或根用户可以查看发往其他客户机或主机操作系统的流量。

注：有时您可能确实需要将标准虚拟交换机或分布式虚拟交换机配置为在混杂模式中运行(例如运行网络入侵检测软件或数据包嗅探器时)。

物理交换机是一个点对点的设备，它维护一个连接到到它上面的设备的MAC地址表。所以它可以实现只把数据送达到指定MAC地址的设备所连接的端口。

虚拟交换机在这方面也是同理。

在虚拟交换机默认不开启混杂模式时，举个例子，假设vSwitch0交换机下有两个端口组，端口组1下有若干Windows虚拟机用于员工办公使用，端口组2下一台Linux虚拟机，管理员用来进行一些网络分析。当我们在端口组2的Linux虚拟机上安装Wireshark之类的抓包工具时，只能抓取到发送到此台Linux虚拟机的数据包(上面提到的点对点)，而抓取不到端口组1中的Windows虚拟机之间的数据包或者外界发到Windows虚拟机的数据包，也就是说Wireshark此时是不能远程抓包的。

我们可以对vSwitch0开启混杂模式，或者对端口组2开启混杂模式。推荐对端口组开启，授予权限或安全策略时，一般建议遵守最小化原则。

当端口组2开启混杂模式时，Linux虚拟机就可以抓取vSwitch0上所有数据包了。

这意味着虚拟机中的管理员或根用户可以查看发往其他客户机或主机操作系统的流量。

一个相对易懂的描述就是，混杂模式所做的就是将通过此虚拟交换机的数据流量开放给开启了混杂模式的端口组下面所连接的虚拟机可见。(所以如果是整个虚拟交换机开启混杂模式，就是此虚拟交换机所有流量开放给虚拟交换机下的所有虚拟机都可见。)

如果想尝试上述实验，可以照此创建实验环境，使用Wireshark或者tcpdump在Linux虚拟机上尝试抓取Windows虚拟机的数据包。记得修改混杂模式后重启下虚拟机。