除了初始MAC地址以外，每个适配器还有一个有效MAC地址，用于过滤掉那些MAC目标地址与有效MAC地址不符的传入数据包。客户操作系统负责设置有效MAC地址，并通常使有效MAC地址与初始MAC地址相匹配。
发送数据包时，操作系统通常将其自有网络适配器的有效MAC地址放在以太网帧的源MAC地址字段中。此外，它还将接收网络适配器的MAC地址放在目标MAC地址字段中。仅当数据包中的目标MAC地址与其自有有效MAC地址相匹配时，接收适配器才会接受数据包。
ESX的虚拟交换机标Байду номын сангаас具有以下优点：
不同的VLAN帧可以复合至一个物理网卡中，因此可以将任何VLAN的所有通信量都整合到一个物理网卡中。无需为多个VLAN配备多个网卡。
无需在虚拟机内运行客户操作系统指定的VLAN驱动程序。
由于所有的高速网卡都支持VLAN加速，因此在虚拟交换机中支持VLAN标记几乎不会影响性能。
在虚拟网络配置中，深入复杂的配置包括“配置VLAN、二层安全性、通信量调整和网卡捆绑负载平衡等网络策略，以及故障切换策略”,其中涵盖了物理网卡跨网段、虚拟网络经过防火墙、网络通道冗余连接等内容。
*VLAN，它允许虚拟网络加入物理VLAN或支持QOS策略。
*二层安全性选项，它可通过控制混杂模式、更改MAC地址和伪传输来强制执行虚拟网卡在虚拟机中可执行的操作。
确保VLAN 1不是物理交换机的本地VLAN。可以将默认的本地VLAN更改为另一个VLAN ID。
或者，需要启用本地VLAN 802.1Q标记功能。有些交换机不支持该选项，而对于有些交换机来说，由于在默认情况下已启用本地VLAN中的标记，因此根本无需启用该选项。
当采取上述任一步骤在某一外部交换机上更改本地VLAN行为时，还可能需要更改所有相邻的交换机，使它们仍可以在本地VLAN中正常通信。
一种常见的最佳做法是，避免将本地VLAN（通常是VLAN 1）用于任何常规数据通信。VMware建议不要将任何ESX虚拟交换机端口组的VLAN ID与本地VLAN关联。另外，只要避免使用VLAN端口组的本地VLAN，就无需在ESX系统中进行本地VLAN的相关配置。
如果必须将VLAN 1与端口组关联，并需要它传输虚拟机网络通信量，则必须完成以下两项操作中的一项：
VI Client为以上四种策略分别提供了一个选项卡。首先是VLAN的配置。
VLAN的优点：
可灵活地进行网络分区和配置
可提高性能
可节约成本
2.Vlan设置
VLAN可对站点或交换机端口进行逻辑分组，支持所有站点或端口都像在同一物理LAN分段上那样进行通信。这包括实际上位于不同802.1D桥接LAN中的站点或端口。
*通信量调整可定义平均带宽、峰值带宽以及网络流量激增大小。可以对以上策略进行设置，从而加强通信量管理。
*网卡捆绑，它可为单个端口组或网络设置网卡捆绑策略，以便共享通信量负载或在硬件出现故障时提供故障切换。
要配置策略，从[vSwitch Properties（虚拟交换机属性）]对话框中，选择要应用策略的虚拟交换机或端口组，然后单击[Edit（编辑）]。
虚拟机的操作系统可随时更改有效MAC地址。如果操作系统已更改有效MAC地址，则其网络适配器可接收发往新MAC地址的网络通信量。另外，操作系统可随时使用模拟的源MAC地址来发送帧。这样，操作系统可通过模拟接收网络所授权的网络适配器，向网络中的设备发起恶意攻击。
可以使用ESX主机上的虚拟交换机安全配置文件，来防止操作系统更改有效MAC地址所引发的问题。如下图：
并且，如果物理服务器已在运行VLAN驱动程序，则可以轻松使用VMware Converter或引导式整合功能来转换服务器，而无需重新配置现有VLAN标记。新虚拟机将自动继承物理机的所有VLAN设置。
虚拟客户机标记的缺点如下：
并非始终可能、或始终可以轻松找到并配置客户操作系统的802.1Q驱动程序。
并且，如果没有VLAN硬件加速，则将占用额外的CPU循环来标记出站帧，并删除入站帧标记。
在4字节的802.1Q标记中，前2个字节表示下面的帧是802.1Q帧，后2个字节表示VLAN标记（3位表示位的优先级、1位表示规范格式标识、最后12位表示VLAN ID）。系统将保留VLAN ID 0。
VMware Infrastructure支持配置3种VLAN标记：
*外部交换机标记
*虚拟交换机标记
Forged Transmits：
伪传输将影响出站通信量。默认情况下，此选项设置为[Accept（接受）]，这意味着ESX主机不会将源MAC地址与有效MAC地址进行比较。如果将此选项设置为[Reject（拒绝）]，ESX主机会将操作系统正在传输的源MAC地址与其适配器的有效MAC地址进行比较，查看它们是否匹配。如果地址不匹配，ESX会丢弃此数据包。客户操作系统不会检测到其虚拟网络适配器无法使用模拟的MAC地址发送数据包。ESX主机将在任何使用模拟地址传递数据包传输之前将其截获，因此，客户操作系统可能会假设数据包已被丢弃。
将端口设置为中继模式时，确保在ESX系统中配置的VLAN已定义，并确保虚拟中继端口支持该VLAN。默认行为因交换机和供应商的不同而有所不同。可能需要在物理交换机中明确定义所有与ESX一起使用的VLAN。对于每个VLAN的定义，可以指定VLAN ID、名称、类型、MTU、安全性关联标识符、状态、环号码和桥接标识号等。对于默认支持所有端口的交换机（例如，Cisco某些交换机的VLAN 1至VLAN 1005均支持所有端口），可能无需任何操作。然而，要实现最佳安全实践并显著减少处理多余数据包的时间，VMware建议根据需要限制VLAN的数量。
本地VLAN用于交换机控制和管理协议。在许多类型的交换机中，本地VLAN帧未采用任何VLAN ID进行标记。在这种情况下，中继端口自动将所有未标记的帧视为本地VLAN帧。对于大多数Cisco交换机而言，VLAN 1是其默认的本地VLAN ID。然而，在许多企业网络中，本地VLAN可能是VLAN 1或100。根据交换机类型和运行的配置，它可以为任何数字。
要配置虚拟客户机标记，请输入4095作为端口组的VLAN ID。然后，可以在虚拟机内运行802.1Q VLAN中继驱动程序。VMware没有附带802.1Q vmxnet驱动程序。对于Windows客户机，该驱动程序仅可与E1000虚拟网卡一起使用。Linux客户机使用dot1q模块。配置如下：
D:对于虚拟交换机标记和虚拟客户机标记，必须将外部虚拟交换机端口配置为VLAN中继端口，并将封装中继端口设置为802.1q。ESX不支持动态中继协议，因此请将中继端口配置为静态且无条件。
并且，设置适当的虚拟中继模式之后，再置备其他VLAN时无需配置其他交换机。外部交换机配置变得非常容易。
要使用虚拟交换机标记，必须创建适当的端口组，并将端口组的VLAN ID设置为1至4094之间的任何数字（包括1和4094）。端口组的值，在虚拟机中必须具有唯一性。如下图：
C：虚拟客户机标记Virtual Machine Guest tagging (VGT模式):
VMware
在ESX中实施的虚拟交换机，其运行方式与现代以太网交换机的方式大致相同。与物理交换机类似，虚拟交换机也有一个MAC：端口转发表。当该转发表到达并转发至一个或多个传输端口时，它将查找每个帧的目标MAC地址。虚拟交换机提供标准的VLAN分段，且可以配置这些分段。但是，与物理交换机不同，ESX可为这些配置信息提供虚拟以太网适配器的直接通道，作为权威的MAC过滤器更新程序。因此，不必获得单播地址，也不必执行IGMP侦测即可获得多播组成员身份。此外，VMware Infrastructure强制采用单层网络拓扑，这种拓扑结构不支持多个虚拟交换机互连。由于以太网循环不是问题，因此不需要生成树协议。
尽管最常用的混杂模式应当处于关闭状态，但如果正在运行网络入侵检测软件或数据包端口扫描器，那么也可将虚拟交换机配置为在混杂模式中运行。
MAC Address Changes：
更改MAC地址会影响入站通信量。默认情况下，MAC地址更改已设置为[Accept（接受）]，这意味着ESX主机允许将有效MAC更改为除初始MAC地址以外的其他地址。如果将此选项设置为[Reject（拒绝）]，则ESX不允许将有效MAC地址更改为除初始MAC地址以外的其他地址。相反，它将禁用虚拟适配器用来发送请求的端口。因此，如果客户操作系统将有效MAC地址更改为与初始MAC地址不匹配的地址，虚拟适配器不会接收任何帧。客户操作系统无法检测到MAC地址的更改尚未经过授权。
外部交换机标记要求像设置任何物理服务器一样设置VLAN配置。
无需在ESX主机中进行任何配置，即可使用外部交换机标记。当端口组的VLAN ID设置为0或未设置任何值时，将启用外部交换机标记。（如下图）
B：虚拟交换机标记Virtual Switch tagging (VST模式):
虚拟交换机标记是最常见的配置。在此模式中，可以在虚拟交换机上为每个VLAN置备一个端口组，然后将虚拟机的虚拟适配器连接到端口组，而不是直接连接到虚拟交换机。虚拟交换机的端口组可标记所有的出站帧并删除所有入站帧的标记。此外，它还可以确保VLAN之间不会相互泄露帧。
我们还可以选择在虚拟机内安装802.1Q VLAN中继驱动程序。当帧传出或传入虚拟交换机时，会在虚拟机网络堆栈与外部交换机之间保留标记。
虚拟客户机标记的优点如下：
每个虚拟机的VLAN数量不受虚拟适配器数量的限制，这意味着虚拟机可以位于网络中任何数量的VLAN上。因此，如果单个虚拟机必须位于网络中5个或更多不同的VLAN上，则必须使用此标记方法。
3.通信量调整
ESX通过为3个出站通信量的特征建立参数的方式来调整通信量：平均带宽、网络流量激增大小和峰值带宽。
*平均带宽可确定平均每秒允许通过虚拟交换机的比特数。它是允许的平均负载。
*网络流量激增大小可确定网络流量激增允许的最大字节数。如果某一网络流量激增超过网络流量激增大小参数，则超出的数据包将排成队列，等待稍后传输。如果队列已满，则数据包将被丢弃。指定平均带宽和网络流量激增大小的值时，应指出需要虚拟交换机在正常运行中处理哪些事项。