隨著虛擬化技術(shù)的日趨成熟,越來(lái)越多的用戶選擇使用VMWare ESXi來(lái)搭建自己的虛擬化平臺(tái),本文著重介紹如何在VMWare ESXi中部署WFilter(超級(jí)嗅探狗)來(lái)實(shí)現(xiàn)監(jiān)控。
在VMware ESXi環(huán)境下,WFilter(超級(jí)嗅探狗)可以支持兩種部署方式:旁路模式和串聯(lián)模式,有關(guān)這兩種模式的區(qū)別和優(yōu)缺點(diǎn),請(qǐng)參見:WFilter部署模式
旁路模式監(jiān)控時(shí),只需要在一臺(tái)虛擬機(jī)中安裝WFilter,然后開啟虛擬交換機(jī)的混雜模式即可。但是由于旁路模式無(wú)法禁止UDP通訊,還需要在上層的路由器或者防火墻設(shè)備上禁止UDP端口才可以,請(qǐng)參見:如何在路由器上禁止UDP端口?
本文主要介紹如何在ESXi環(huán)境中,用串聯(lián)模式來(lái)部署WFilter。串聯(lián)模式不需要在上層設(shè)備禁止UDP端口即可實(shí)現(xiàn)WFilter的所有功能。
VMware ESXi環(huán)境下用串聯(lián)模式部署超級(jí)嗅探狗
要實(shí)現(xiàn)串聯(lián)模式部署,需要滿足以下條件:
- 安裝一臺(tái)雙網(wǎng)卡的虛擬機(jī)用于監(jiān)控。
- 至少兩個(gè)虛擬交換機(jī)。
- 監(jiān)控虛擬機(jī)的兩塊網(wǎng)卡分別連接兩個(gè)虛擬交換機(jī)。
如下圖所示,監(jiān)控虛擬機(jī)“94-wfilter-server”串接在vSwitch0和vSwitch1之間,vSwitch1不連接實(shí)際的適配器。這樣的架構(gòu)下,所有vSwitch1上的虛擬機(jī)的上網(wǎng)行為都將被監(jiān)控虛擬機(jī)“94-wfilter-server”所監(jiān)控和過濾。
步驟1,創(chuàng)建一個(gè)虛擬交換機(jī)vSwitch1
創(chuàng)建一個(gè)不需要物理網(wǎng)卡的虛擬交換機(jī)。
步驟2,把監(jiān)控主機(jī)的兩塊網(wǎng)卡分別接到兩個(gè)虛擬交換機(jī)
監(jiān)控主機(jī)的兩塊網(wǎng)卡分別接到兩個(gè)虛擬交換機(jī)。
步驟3,監(jiān)控主機(jī)所在兩塊網(wǎng)卡連接的虛擬交換機(jī)都要允許“雜亂模式”
監(jiān)控主機(jī)所在兩塊網(wǎng)卡連接的虛擬交換機(jī)都要允許“雜亂模式”。
這樣,橋接監(jiān)控虛擬機(jī)“94-wfilter-server”上的兩塊網(wǎng)卡,并且安裝WFilter,然后設(shè)置WFilter工作在“串聯(lián)模式”即可監(jiān)控vSwitch1上的所有虛擬機(jī)的上網(wǎng)行為。WFilter的具體配置步驟,請(qǐng)參考:通過網(wǎng)橋部署超級(jí)嗅探狗進(jìn)行監(jiān)控
