vSphere的虚拟交换机(或端口组)可以设置2层安全策略,有3个策略可供选择:混杂模式、MAC地址更改、伪传输。本文是对这3个策略的详细解读。
既然是2层安全策略,而MAC地址又是处于2层,所以就是关于MAC地址的安全策略。
背景知识:
对于物理机,有2个MAC地址:
■固化在物理网卡ROM中的MAC地址,不可更改,该地址称为”初始MAC地址“;
■操作系统层面也有个MAC地址,叫做”有效MAC地址“,VMware官方文档称之为”网络适配器地址“,该地址能在网卡属性或者注册表中更改,如:
在默认的情况下,初始MAC地址和有效MAC地址是相同的,除非用户更改。
虚拟机也有类似的概念,不同的是虚拟机有3个MAC地址:
■存在于VMX配置文件中的MAC地址(类似于”固化“的初始MAC地址),如:
ethernet0.generatedAddress = "00:50:56:9a:6b:14"
■存在于虚拟操作系统里可更改的”有效MAC地址“;
■运行时MAC地址(虚拟交换机收到的MAC地址):
地位超然的ESXi主机当然对其管辖下的所有VM的这3个MAC地址了然于胸。
名词解释:
入站帧:进入虚拟交换机的帧
出站帧:离开虚拟交换机的帧