VMware環境でLANインタフェースのpromiscuousモードが必要な機能を使用する場合の注意

ブリッジやL2TPv3、tcpdumpといった機能は、その性質上「自分宛以外のMACを受信する」動作を行います。 このため、LANインタフェース(VMware上の仮想スイッチ)が promiscuousモードで動作する必要があります。

VMwareの仮想スイッチはデフォルトで promiscuousモードが無効であることが確認されています。 次の機能を使用する場合は、VMwareの仮想スイッチのpromiscuousモード(無差別モード)を有効化してください

  • ブリッジ、及びブリッジグループ
  • L2TPv3
  • tcpdump
  • ARP
    • 静的ARP機能("proxy on")を使用する場合
  • NAT6
    • NDP proxy機能("ndproxy on" )を使用する場合
  • VRRPv2
    • 仮想MACアドレス("virtual-mac on")を使用する場合
  • VRRPv3

promiscuousモードの有効化手順

仮想スイッチのプロパティにて、セキュリティ > 無差別モード の値に「拒否」が設定されている場合には「承諾」に変更してください。

注: SEILをブリッジとして構成する場合は、同一の仮想ネットワークを構成する全ての仮想スイッチで設定が必要です

「無差別モード」に関する注意

無差別モードで通信を行う複数のインタフェースが、同一の無差別モードが許可された仮想スイッチに接続されていると、本装置のインタフェースが送信したパケットがそのまま同一のインタフェースに入力され、次のような事象が起きる場合があります。
  • VRRPを使用するインタフェースが送信したマスター広告を同一インタフェース受信し、状態が安定しない(master <-> backup の遷移を繰返す)
  • 無差別モードが許可された仮想スイッチに接続された複数のインタフェースと、他の仮想スイッチに接続されたインタフェースが同一のブリッジグループに属していると、他方のスイッチから転送されたパケットが無差別モード側のインタフェースで送信を抑止される(送信フレームが同一インタフェースでも受信されループ保護機能が働く)
パケットキャプチャを行うことで原因となるパケットの発生有無を確認できます。 
# tcpdump interface <Interface> link-header on print-direction on
同一のパケットについて"O:"(Output)と"I:"(Input)が観測される場合、送信したものと同一のパケットが入力されていると言えます。

この事象は仮想環境側で次のような設定変更を行うことで対処できます。

  1. vSphere Clientにて対象のESXiホストを選択
  2. [構成] - [ソフトウエア] - [詳細設定] - [Net]のNet.ReversePathFwdCheckPromiscの値を0から1に変更
参考情報
インターフェイスが無差別モードで動作しているときに、重複するマルチキャスト パケットまたはブロードキャスト パケットが仮想マシンによって受信されるhttps://knowledge.broadcom.com/external/article/319884/.html