[VMware]仮想スイッチの設定について
ブリッジやtcpdumpといった機能は、その性質上「自身と異なるMACアドレス宛の通信も受信する」動作を行います。また、ブリッジインタフェースやVRRPは、仮想マシンのネットワークアダプタと異なるMACアドレスのフレームを送出します。しかし、これらは仮想スイッチのセキュリティ設定によって禁止されている場合があるため、使用する機能に応じて許可する必要があります。
次の機能を使用する場合は、仮想スイッチのセキュリティポリシーの無差別モードを許可を有効化してください。
- ブリッジインタフェース
- L2TPv3インタフェース
- tcpdump
- Proxy ARP
- ND Proxy(NAT6)
- VRRP
- ブリッジインタフェース
- L2TPv3インタフェース
- VRRP
注:
上記の機能を使用するインタフェースと同一リンクにあたる全ての仮想スイッチを設定する必要があります。
「無差別モード」に関する注意
無差別モードで通信を行う複数のインタフェースが、同一の無差別モードが許可された仮想スイッチに接続されていると、本装置のインタフェースが送信したパケットがそのまま同一のインタフェースに入力され、次のような事象が起きる場合があります。
パケットキャプチャを行うことで原因となるパケットの発生有無を確認できます。
- VRRPを使用するインタフェースが送信したマスター広告を同一インタフェース受信し、状態が安定しない(master <-> backup の遷移を繰返す)
- 無差別モードが許可された仮想スイッチに接続された複数のインタフェースと、他の仮想スイッチに接続されたインタフェースが同一のブリッジインタフェース(bridge[])に属していると、他方のスイッチから転送されたパケットが無差別モード側のインタフェースで送信を抑止される(送信フレームが同一インタフェースでも受信されループ保護機能が働く)
# tcpdump interface <Interface> link-header on print-direction on
同一のパケットについて"O:"(Output)と"I:"(Input)が観測される場合、送信したものと同一のパケットが入力されていると言えます。
この事象は仮想環境側で次のような設定変更を行うことで対処できます。
- vSphere Clientにて対象のESXiホストを選択
- [構成] - [ソフトウエア] - [詳細設定] - [Net]のNet.ReversePathFwdCheckPromiscの値を0から1に変更
- 参考情報
- インターフェイスが無差別モードで動作しているときに、重複するマルチキャスト パケットまたはブロードキャスト パケットが仮想マシンによって受信されるhttps://knowledge.broadcom.com/external/article/319884/.html