一、相关概念

1. 东西向流量

指在同一数据中心或网络内部的不同设备之间传输的数据流量。
这种流量主要发生在服务器、存储设备、网络设备（如交换机、路由器）等基础设施之间的通信过程中。

1. 南北向流量

指从数据中心或网络的外部客户端到内部服务器（或从内部服务器到外部客户端）之间传输的数据流量。

这种流量主要涉及用户访问互联网服务、下载内容、上传数据等外部交互过程。

1. 混杂模式概念

一种网络接口卡的工作模式，在该模式下，网络接口卡可以接收网络中所有经过的数据包，而不仅仅是目标地址为自身的数据包，是实现流量监控的关键模式。

二、权限准备

拥有 ESXI 主机的管理员权限（如 root 账号）或具备网络配置、虚拟机管理权限的用户账号，用于在 ESXI 中进行端口组配置、虚拟机设置等操作。

三、ESXI环境下的相关配置

1. 虚拟交换机的配置

登录到ESXI的管理页面后选择左侧导航栏，“网络”选项，进入到网络配置管理界面。

图3-1 网络管理选择

       进入网络配置后选择“虚拟交换机”进行虚拟交换机的创建，填写交换机名称，选择上行链路配置MTU等配置，其他配置保持默认即可。

图3-2 虚拟交换机选择

图3-3 虚拟交换机配置

1. 监控端口组的配置

完成虚拟交换机的创建之后，还需要配置相关的监控端口组并关联到业务交换机上。

1.在网络配置中，选择端口组。

图3-4 选择端口组

2.新建监控端口组。

图3-5 配置端口组

填写所在VLAN编号，VLAN ID根据实际业务情况进配置，如果存在多VLAN情况，且还想进行全流量的数据抓取，这里可以填写成4095，对应VMware的trunk模式，将能监控所有VLAN数据，完成VLAN ID配置后在虚拟交换机关联上一步创建的虚拟交换机。

3.进行安全模式选择，配置端口组混杂模式。

图3-6 配置端口混杂模式

（1）MAC地址更改（非必须配置）

ESXI知晓虚拟机的"初始MAC地址"和"有效MAC地址"，当两者不同时，需要执行相应的安全策略:拒绝:此VM修改了MAC地址，它是想冒充别的VM吗?我把它的端口禁用掉。

允许:我知道VM修改了MAC地址，并启用它的端口。

此时，执行策略的是虚拟交换机，虽然我们说禁用了端口，但其实虚拟机OS本身是不知道的，因为并非在物理层或链路层断开网卡，而是丢弃了发给这个虚拟机OS的帧。

（2）伪传输（非必须配置）

MAC地址更改是修改"有效MAC地址"，此时通过此网卡向外传输的帧的源MAC地址也随着"有效MAC地址"修改了。还有些恶意软件，它不修改"有效MAC地址"，直接修改向外传输的帧的源MAC地址。伪传输这个策略检查的就是源MAC是否和"有效MAC地址"一致。

拒绝:当恶意软件修改了源MAC地址(伪造传输),该虚拟机的虚拟网卡就会删除该帧。但会允许没伪造的帧传输出去。

允许:随便什么源MAC，随便发。

点击保存完成端口组混杂模式配置。

1. 关联虚拟机网卡

图3-7 选择虚拟机管理界面

进入虚拟机页面选择虚拟机，进行虚拟机网卡配置。

图3-8 编辑虚拟机配置

选择上一步创建的监控端口组，点击保存完成配置。

图3-9 关联监控端口组

四、效果测试

1. 东西向流量监控

为验证东西向流量监控情况，选择在服务器之间进行ping测试；在监控主机上查看数据监控信息。

图4-1 主机直接互ping测试

图4-2 查看虚拟主机东西向流量

可以看到通过监控主机能看到服务器直接交互的数据包，证明已经监控到东西向的流量。

1. 南北向流量监控

为验证南北向流量监控情况，选择在服务器进ping跨网段网关测试；在监控主机进行数据包监控情况查看。

图4-3 进行虚拟机跨网段ping测试

图4-4 查看虚拟主机南北向流量

通过监控主机能看到服务器能实现跨网段通信，证明已经成功监控到南北向的数据流量。