我們注意到在虛擬網絡中，啟用混合模式存在其優劣勢。如果正確地使用則可以在降低風險的同時提高虛擬架構中網絡的安全性和效率。

改善虛擬網絡安全的小提示

為確保虛擬網絡安全和防止虛擬機模仿其它虛擬機，您可以采取如下幾個防御措施：

1.關閉所有虛擬服務器的混合模式。這一步防止虛擬機看到發送到其它主機的流量

2.鎖定MAC地址更改，防止虛擬機變更其MAC地址。這一步可以防止虛擬機訪問發送給網絡上其它虛擬機的流量

3.關閉欺騙傳輸，可以阻止虛擬機以網絡內其它虛擬機的名義發送數據包

混合模式下，虛擬網卡設備(可以是網絡適配器或虛擬機網卡vNIC)可以攔截和訪問虛擬網絡中的數據包，包括發送給其它vNIC的包。如果關閉混合模式，vNIC通常會自動丟棄發送到其它MAC地址的包。并非所有的hypervisor支持混合模式(例如Microsoft Hyper-V)，而其它的如VMware vSphere則支持。

多年來，支持混合模式成為管理和監控物理網卡和交換機的重要內容。現在的虛擬網絡正在經歷類似的過程，出現了一些基本的管理和性能優化工具，例如Catbird Networks Inc.’s vSecurity 和 CloudSwitch Enterprise。

通過啟用混合模式監控虛擬網絡流量

不同于很多傳統的網絡安全工具，虛擬化專用工具可以監控宿主機上hypervisor和虛擬機之間的流量。虛擬網絡主要由運行于同一宿主機上的多臺虛擬機構成，邏輯上都是相互連接的，所以它們可以互相發送和接受數據。可能一臺虛擬交換機會為整個虛擬網絡服務，而虛擬交換機通過基于hypervisor的配置信息可以把數據轉發到正確的虛擬機。

當啟用混合模式時，安全工具可以通過包嗅探器監控流量和虛擬網絡傳輸內容。這些工具通過流量分析判斷是否有非法訪問，例如未經授權的侵入或錯誤發送給虛擬機的信息。管理員通過包嗅探器分析虛擬網絡性能，找出瓶頸和管理高效的網絡數據傳輸。通過檢查網絡流量還可以確保即使某臺虛擬機被感染，也不會相互攻擊。

由于侵入者通過混合模式惡意監測網絡流量，您還可以借助混合模式作為旁路包嗅探器以監測哪個vNIC處于非正常狀態。

不加管束的混合模式

在某些hypervisor中啟用混合模式很容易，但是只建議有深入了解的IT人員去啟用該功能。在ESXi中，您可以通過簡單幾步啟用虛擬交換機上的混合模式：登錄到vCenter Server > select an ESXi host >選擇希望啟用的交換機> 然后接受修改。

混合模式還常用于混合云環境。CloudSwitch應用需要ESX虛擬交換機混合模式的支持，實現數據中心和位于外部云中的工作負載的路由。由于CloudSwitch只對云內的服務器流量感興趣，您可以配置只屬于應用的端口。這樣，CloudSwitch應用永遠不會接收到虛擬交換機上其它節點的數據，因為混合模式只對該獨立端口組啟用。

在公有云中混合模式也有應用。用戶可以在亞馬遜EC2中創建啟用混合模式的虛擬機。但是，不同于物理機和虛擬機，EC2只會把數據傳輸到正確地址的vNIC。換句話說，EC2虛擬服務器只會向目標IP或MAC地址發數據，而對于EC2運行于混合模式的虛擬機，是不能接受和嗅探發送到其它EC2虛擬服務器的數據的。

用戶可以在運行混合模式的EC2環境中通過安全監控獲知是否混合模式被正確關閉，這對于運行關鍵應用的EC2服務器尤其重要。如果安全監控工具可以嗅探到發送給其它虛擬機的包，那么EC2的混合模式運行不正常——需要引起關注。

最后，雖然混在模式可能會改善虛擬網絡安全和效率。但是，如果使用不當，該網絡屬性會嚴重危害數據中心。所以，沒有經驗的IT管理員最好遠離混合模式，以確保入侵者不會從虛擬網絡中竊取到敏感數據。