隨著虛擬化技術的日趨成熟，越來越多的用戶選擇使用VMWare ESXi來搭建自己的虛擬化平臺，本文著重介紹如何在VMWare ESXi中部署WFilter（超級嗅探狗）來實現監(jiān)控。

在VMware ESXi環(huán)境下，WFilter（超級嗅探狗）可以支持兩種部署方式：旁路模式和串聯模式，有關這兩種模式的區(qū)別和優(yōu)缺點，請參見：WFilter部署模式

旁路模式監(jiān)控時，只需要在一臺虛擬機中安裝WFilter，然后開啟虛擬交換機的混雜模式即可。但是由于旁路模式無法禁止UDP通訊，還需要在上層的路由器或者防火墻設備上禁止UDP端口才可以，請參見：如何在路由器上禁止UDP端口？

本文主要介紹如何在ESXi環(huán)境中，用串聯模式來部署WFilter。串聯模式不需要在上層設備禁止UDP端口即可實現WFilter的所有功能。

VMware ESXi環(huán)境下用串聯模式部署超級嗅探狗

要實現串聯模式部署，需要滿足以下條件：

1. 安裝一臺雙網卡的虛擬機用于監(jiān)控。
2. 至少兩個虛擬交換機。
3. 監(jiān)控虛擬機的兩塊網卡分別連接兩個虛擬交換機。

如下圖所示，監(jiān)控虛擬機“94-wfilter-server”串接在vSwitch0和vSwitch1之間，vSwitch1不連接實際的適配器。這樣的架構下，所有vSwitch1上的虛擬機的上網行為都將被監(jiān)控虛擬機“94-wfilter-server”所監(jiān)控和過濾。

步驟1，創(chuàng)建一個虛擬交換機vSwitch1

創(chuàng)建一個不需要物理網卡的虛擬交換機。

步驟2，把監(jiān)控主機的兩塊網卡分別接到兩個虛擬交換機

監(jiān)控主機的兩塊網卡分別接到兩個虛擬交換機。

步驟3，監(jiān)控主機所在兩塊網卡連接的虛擬交換機都要允許“雜亂模式”

監(jiān)控主機所在兩塊網卡連接的虛擬交換機都要允許“雜亂模式”。

這樣，橋接監(jiān)控虛擬機“94-wfilter-server”上的兩塊網卡，并且安裝WFilter，然后設置WFilter工作在“串聯模式”即可監(jiān)控vSwitch1上的所有虛擬機的上網行為。WFilter的具體配置步驟，請參考：通過網橋部署超級嗅探狗進行監(jiān)控