Monitore o tráfego do host relacionado à rede externa capturando pacotes em certos pontos no caminho entre um vSphere Standard Switch ou vSphere Distributed Switch e um adaptador físico.

Você pode especificar um determinado ponto de captura no caminho de dados entre um switch virtual e um adaptador físico ou determinar um ponto de captura por direção de tráfego em relação ao switch e proximidade da origem ou destino do pacote. Para obter informações sobre pontos de captura com suporte, consulte Pontos de captura do utilitário pktcap-uw.

Procedimento

  1. (Opcional) Encontre o nome do adaptador físico que você deseja monitorar na lista de adaptadores de host.
    • Em vSphere Client, na guia Configurar (Configure) do host, expanda Rede (Networking) e selecione Adaptadores físicos (Physical adapters).
    • No ESXi Shell para o host, para exibir uma lista dos adaptadores físicos e examinar seu estado, execute o seguinte comando ESXCLI: 
      esxcli network nic list
    Cada adaptador físico é representado como vmnic X . X é o número que ESXi atribuiu à porta do adaptador físico.
  2. No ESXi Shell para o host, execute o comando pktcap-uw com o argumento --uplink vmnic X e com opções para monitorar pacotes em um ponto específico, filtro capturado pacotes e salve o resultado em um arquivo. 
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    onde os colchetes [] incluem as opções do comando pktcap-uw --uplink vmnic X e as barras verticais | representam valores alternativos.

    Se você executar o comando pktcap-uw --uplink vmnic X sem opções, obterá o conteúdo dos pacotes que estão entrando no switch padrão ou distribuído na saída do console no ponto em que são comutados.

    1. Use a opção --capture para verificar os pacotes em outro ponto de captura ou a opção --dir em outra direção de tráfego.
      Opção de comando pktcap-uw Objetivo
      --capture UplinkSnd Monitore os pacotes imediatamente antes que eles entrem no dispositivo do adaptador físico.
      --capture UplinkRcv Monitore os pacotes imediatamente após serem recebidos na pilha de rede do adaptador físico.
      --dir 1 Monitore os pacotes que saem do switch virtual.
      --dir 0 Monitore os pacotes que entram no switch virtual.
    2. Use um filter_options para filtrar pacotes de acordo com o endereço de origem e de destino, ID de VLAN, ID de VXLAN, protocolo de camada 3 e porta TCP.
      Por exemplo, para monitorar pacotes de um sistema de origem que tem o endereço IP 192.168.25.113, use a opção de filtro --srcip 192.168.25.113.
    3. Use as opções para salvar o conteúdo de cada pacote ou o conteúdo de um número limitado de pacotes em um arquivo .pcap ou .pcapng .
      • Para salvar pacotes em um arquivo .pcap , use a opção --outfile.
      • Para salvar pacotes em um arquivo .pcapng , use as opções --ng e --outfile.

      Você pode abrir o arquivo em uma ferramenta de análise de rede, como o Wireshark.

      Por padrão, o utilitário pktcap-uw salva os arquivos de pacote na pasta raiz do sistema de arquivos ESXi.

    4. Use a opção --count para monitorar apenas um número de pacotes.
  3. Se você não tiver limitado o número de pacotes usando a opção --count, pressione Ctrl + C para interromper a captura ou o rastreamento de pacotes.

Exemplo: Pacotes de captura que são recebidos em vmnic0 de um endereço IP 192.168.25.113

Para capturar os primeiros 60 pacotes de um sistema de origem que é atribuído ao endereço IP 192.168.25.113 em vmnic0 e salvá-los em um arquivo chamado vmnic0_rcv_srcip.pcap , execute o seguinte pktcap-uw comando: 

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

O que Fazer Depois

Se o conteúdo do pacote for salvo em um arquivo, copie o arquivo do host ESXi para o sistema que executa uma ferramenta de análise gráfica, como o Wireshark, e abra-o na ferramenta para examinar os detalhes do pacote.