VAF透明模式在ESXi环境下不能通信问题

一、环境描述

1、对应服务器网口绑定对应虚拟交换机

2、对应端口组绑定对应虚拟虚拟交换机

3、VAF虚拟机新增网口并绑定对应端口组

4、VAF防火墙部署为透明模式，配置VLAN接口，一条默认路由指向网关

一、问题现象

1、一台1PC接防火墙的LAN口，一台2PC接防火墙WAN口设置为网关；1PC与2PC无法访问通信，进行抓包无法抓不到数据包，在防火墙上抓包也没有数据包；

二、问题分析/解释

由于ESXi对所有虚拟资产都必须得到有效得保护，在vSphere虚拟交换机中基于2层做了三个安全策略，导致防火墙不能转发数据。

1、混杂模式：混杂模式的工作原理是清除虚拟机适配器执行的接收筛选，使得客户机操作系统能够接收网络上所有流量。不开启的情况下：如果收到的数据包的目的MAC地址不是改虚拟机的MAC，就会拒绝丢弃掉；开启的情况下：即使收到的数据包的目的地址不是虚拟机的MAC，也会接受改数据包，网卡会把所有的发往它的包全部都接收

2、MAC地址更改：比较的是“有效MAC地址”和“初始MAC地址”，方向是入站（从外界向虚拟机网卡传输的帧），有效”和“初始”MAC地址往往是一致的，ESX知晓虚拟机的“初始MAC地址”和“有效MAC地址”，当两者不同时，需要执行相应的安全策略，拒绝：比M修改了MAC地址，它是想冒充别的VM吗？我把它的端口禁用掉；允许：我知道VM修改了MAC地址，并启用它的端口。 此时，执行策略的是虚拟交换机，虽然我们说禁用了端口，但其实虚拟机OS本身是不知道的，因为并非在物理层或链路层断开网卡，而是丢弃了发给这个虚拟机OS的帧。

3、伪传输：比较的是“源MAC"和“有效MAC地址”，方向是出站（从虚拟机网卡向外界发送的帧)。虚拟交换机上的“伪传输”设置允许你控制是否允许虚拟机发送带有非自身配置的MAC地址或IP地址的数据包。拒绝：当恶意软件修改了源MAC地址（伪造传输），该虚拟机的虚拟网卡就会删除该帧。但会允许没伪造的帧传输出去； 允许：随便什么源MAC,随便发。此时，执行策略的是虚拟网卡。

三、解决办法

在防火墙连接对应的虚拟交换机下，把虚拟交换机安全模块下的全部选为接受：混杂模式、MAC地址更改、伪传输；后续在进行测试数据包即可正常转发

感谢分享，学习一下