详解为何在嵌套ESXi环境下要求开启Promiscuous Mode

时间:2021-07-06 09:34:01

原文链接:http://bbs.vmanager.cn/forum.php?mod=viewthread&tid=8688&fromuid=35445

在嵌套环境中,有时候网路不通,此时,调整Promiscuous Mode选项为Accept之后,网路就可以通了。之前只是知道这个选项可以保证嵌套环境的网路畅通,可是,为什么呢?

首先,需要解释什么是Promiscuous Mode以及它的用途是什么?
Promiscuous Mode表示如何处理所有通过指定通道的流量,如果为Accept则表示允许通过,不考量目标MAC是否正确,Reject则表示只有匹配了目标MAC地址之后,才允许通过,否则不允许通过;

无论是vSS还是vDS,都无法像传统的物理交换机一样去实现MAC地址学习的功能,因为vSphere平台已经知道了指定虚拟机所分配到的MAC地址了。这就意味着如果目标MAC地址与pNIC MAC地址匹配完成之后,vSwitch只需要转发网路包到虚拟机即可;

在嵌套ESXi环境里,可以创建嵌套的虚拟机,此时,嵌套环境里VM的目标MAC地址与嵌套ESXi VMNIC的MAC地址不同,那么,物理ESXi主机的vSwitch将会应用Promiscuous Mode的安全策略来应对这个嵌套环境里VM的流量行为处理。默认情况下,Promiscuous Mode选项是reject,因此,此时的体现形式就是:嵌套环境里VMs的网路无法通讯;

而激活了Accept Promiscuous Mode之后,就相当于系统允许嵌套ESXi VM的VMNIC监控vSwitch的所有通讯,进而允许嵌套ESXi下面VMs的连接通讯;

这就是为什么嵌套式ESXi环境下要激活Promiscuous Mode选项的缘故……