ESXi 上の Windows ゲストでネットワークブリッジの設定をする際にうまく行かず悩んだ点があったのでエントリ書いておきます。

Windows XP 以降には「ネットワークブリッジ」という機能があり、Windows マシン上に繋がった別々のネットワークを1つのネットワークとして結合することができます。
想定しているネットワーク構成のイメージは以下のようなものです。

ESXi のゲストとして、HostA、HostB という2つの Windows ゲストがあって、それぞれが別々の仮想スイッチ(vSwitch)につながっている状態です。ここで、2つのネットワークアダプタを持ち双方の仮想スイッチに繋がった BridgeHost というWindowsゲストを配置してそれぞれのネットワークを Windows のネットワークブリッジ機能を使って結合し、HostA と HostB が BridgeHost を介して通信できるようにする、というのが目標です。

実マシンとスイッチで構成されていれば、上図のように2つのネットワークアダプタを追加したネットワークブリッジを作成*1すれば、期待通りにブリッジされて HostA と HostB は同じネットワークに繋がっているかのように通信することができます。

ところが、ESXi のゲストの場合は、この設定だけでは HostA と Host B は通信することができません。
具体的に言いますとブロードキャストのイーサネットフレームは相手側に到達しますが、双方のネットワークアダプタの Mac アドレス宛のイーサネットフレームが BridgeHost を通過できません。(というより BridgeHost にも到達しません)

例えば HostA から HostB に ping コマンドを打った場合。

1. HostA は HostB の Mac アドレスを解決するべくブロードキャスト宛に ARP リクエストを投げる
2. BridgeHost はブロードキャスト宛の ARP リクエストを受け取り、HostB の居る vSwitch1 に ARP リクエストを転送する。
3. HostB は ARP リクエストを受け取り、HostA の Mac アドレス宛に ARP リプライを送信する。
4. しかし HostA 宛の ARP リプライは BridgeHost には届かず、したがって HostA にも転送されない。
5. HostA は ARP リクエストを再送を繰り返すが、リプライは受け取れない…

これは ESXi の vSwitch のセキュリティ設定にて「無差別モード」がデフォルトで拒否になっている為です。つまり vSwtich としては BridgeHost 宛で無い(HostA宛)のイーサネットフレームを BridgeHost のネットワークアダプタに転送しないようになっているのです。

これを変更するためには以下の要領で vSwitch の設定を変更する必要があります。

レイヤー 2 は、データ リンク レイヤーです。レイヤー 2 セキュリティ ポリシーの 3 つの要素は、
無差別モード、MAC アドレス変更、および偽装転送の 3 つです。無差別モード以外では、ゲスト 
アダプタは、自身の MAC アドレスのトラフィックのみを検出します。無差別モードでは、すべて
のパケットを検出できます。デフォルトでは、ゲスト アダプタは無差別モード以外に設定されます。