ESXI嵌套KVM使用桥接到物理网络的架构图如上所示，桥接后guest一直无法获取到IP。后来发现是宿主Centos主机使用的网卡所在的ESXI端口组没有启用混杂模式、mac地址更改、伪传输三个功能导致。

一直对这个三个功能的使用场景概念模糊，今天结合这个实验终于摸清楚了。VMware官方的话述很难理解，结合自己的理解和实现总结如下：

一、混杂模式：

1、混杂模式可以作用于端口组和虚拟交换机上

2、当A、B两台虚拟机接在处于混杂模式的端口组上时，A、B都可以监听到接在虚拟交换机上面所有端口组进出方向数据帧。

意思是当将端口组C设置为混杂后，将A虚拟机的网卡绑定到此端口组，那么A就可以监听到整个虚拟交换机上面的所有流量。如果B也在此端口组C上，A当然也可以监听B,反之B也和A具备同样的功能，这对在VMware虚拟环境中估抓包和排障是个太好用的功能了。

3、默认情况下KVM hypervisor的ens192接口收到目标mac地址不是自己的帧时会直接丢充，而不会转给自己的guest虚拟机，打开混杂模式后ens192不会再检查目标mac，所以会转发数据帧给guest了。

二、mac地址更改

先定义两个基本概念

硬件地址：在ESXI层面为VM分配的mac地址，可以理解为物理网卡rom烧录的地址

系统地址：操作系统识别了来的网卡的mac地址，默认和硬件地址一致，可以手动修改。

当数据帧中目标mac地址不等于硬件地址时是否允许入站，虚拟交换机决定是否丢弃发给这个虚拟机的帧。

1、从VM的角度来讲是入站，从虚拟交换机的角度来讲是出站，虚拟交换机发现帧中的地址不等于ESXI分配给虚拟机网卡的硬件地址，如放行就转给对应的虚拟机，如拒绝则虚拟交换机将此数据帧丢弃，不会发出来。

三、伪传输

1、mac地址更改已经放行的情况下

2、但当数据帧中源mac地址不等于系统地址（虚拟机操作系统识别的网卡地址）时是否允许从虚拟机出站，此时是虚拟机的虚拟网卡做的策略决定。

所以要做这种嵌套实验端口组的三个安全功能都要设置为启用，