随着虚拟化技术的日趋成熟,越来越多的用户选择使用VMWare ESXi来搭建自己的虚拟化平台,本文着重介绍如何在VMWare ESXi中部署WFilter(超级嗅探狗)来实现监控。
在VMware ESXi环境下,WFilter(超级嗅探狗)可以支持两种部署方式:旁路模式和串联模式,有关这两种模式的区别和优缺点,请参见:WFilter部署模式
旁路模式监控时,只需要在一台虚拟机中安装WFilter,然后开启虚拟交换机的混杂模式即可。但是由于旁路模式无法禁止UDP通讯,还需要在上层的路由器或者防火墙设备上禁止UDP端口才可以,请参见:如何在路由器上禁止UDP端口?
本文主要介绍如何在ESXi环境中,用串联模式来部署WFilter。串联模式不需要在上层设备禁止UDP端口即可实现WFilter的所有功能。
VMware ESXi环境下用串联模式部署超级嗅探狗
要实现串联模式部署,需要满足以下条件:
- 安装一台双网卡的虚拟机用于监控。
- 至少两个虚拟交换机。
- 监控虚拟机的两块网卡分别连接两个虚拟交换机。
如下图所示,监控虚拟机“94-wfilter-server”串接在vSwitch0和vSwitch1之间,vSwitch1不连接实际的适配器。这样的架构下,所有vSwitch1上的虚拟机的上网行为都将被监控虚拟机“94-wfilter-server”所监控和过滤。
步骤1,创建一个虚拟交换机vSwitch1
创建一个不需要物理网卡的虚拟交换机。
步骤2,把监控主机的两块网卡分别接到两个虚拟交换机
监控主机的两块网卡分别接到两个虚拟交换机。
步骤3,监控主机所在两块网卡连接的虚拟交换机都要允许“杂乱模式”
监控主机所在两块网卡连接的虚拟交换机都要允许“杂乱模式”。
这样,桥接监控虚拟机“94-wfilter-server”上的两块网卡,并且安装WFilter,然后设置WFilter工作在“串联模式”即可监控vSwitch1上的所有虚拟机的上网行为。WFilter的具体配置步骤,请参考:通过网桥部署超级嗅探狗进行监控