Monitore o tráfego do host relacionado à rede externa capturando pacotes em determinados pontos no caminho entre um vSphere Standard Switch ou vSphere Distributed Switch e um adaptador físico.

Você pode especificar um determinado ponto de captura no caminho de dados entre um comutador virtual e um adaptador físico ou determinar um ponto de captura pela direção do tráfego em relação ao comutador e a proximidade com a origem ou o destino do pacote. Para obter informações sobre os pontos de captura compatíveis, consulte Pontos de captura do utilitário pktcap-uw.

Procedimento

  1. (Opcional) Localize o nome do adaptador físico que você deseja monitorar na lista de adaptadores do host.
    • Em vSphere Client, na guia Configurar (Configure) do host, expanda Rede (Networking) e selecione Adaptadores físicos (Physical adapters).
    • No ESXi Shell do host, para visualizar uma lista dos adaptadores físicos e examinar seu estado, execute o seguinte comando ESXCLI: 
      esxcli network nic list
    Cada adaptador físico é representado como vmnicX. X é o número que ESXi atribuiu à porta do adaptador físico.
  2. No ESXi Shell para o host, execute o comando pktcap-uw com o argumento --uplink vmnicX e com as opções para monitorar pacotes em um ponto específico, filtrar capturado pacotes e salve o resultado em um arquivo. 
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    em que colchetes [] incluem as opções do comando pktcap-uw --uplink vmnicX e as barras verticais | representam valores alternativos.

    Se você executar o comando pktcap-uw --uplink vmnicX sem opções, obterá o conteúdo dos pacotes que estão entrando no comutador padrão ou distribuído na saída do console no ponto em que eles são comutados.

    1. Use a opção --capture para verificar pacotes em outro ponto de captura ou a opção --dir em outra direção de tráfego.
      Opção de comando pktcap-uw Objetivo
      --capture UplinkSnd Monitore os pacotes imediatamente antes que eles entrem no dispositivo adaptador físico.
      --capture UplinkRcv Monitore os pacotes imediatamente após serem recebidos na pilha de rede do adaptador físico.
      --dir 1 Monitore os pacotes que saem do comutador virtual.
      --dir 0 Monitore os pacotes que entram no comutador virtual.
    2. Use um filter_options para filtrar pacotes de acordo com o endereço de origem e destino, a ID da VLAN, a ID da VXLAN, o protocolo de camada 3 e a porta TCP.
      Por exemplo, para monitorar pacotes de um sistema de origem que tenha o endereço IP 192.168.25.113, use a opção de filtro --srcip 192.168.25.113.
    3. Use as opções para salvar o conteúdo de cada pacote ou o conteúdo de um número limitado de pacotes em um arquivo .pcap ou .pcapng.
      • Para salvar pacotes em um arquivo .pcap, use a opção --outfile.
      • Para salvar pacotes em um arquivo .pcapng, use as opções --ng e --outfile.

      Você pode abrir o arquivo em uma ferramenta de análise de rede, como o Wireshark.

      Por padrão, o utilitário pktcap-uw salva os arquivos de pacote na pasta raiz do sistema de arquivos ESXi.

    4. Use a opção--count para monitorar apenas alguns pacotes.
  3. Se você não tiver limitado o número de pacotes usando a opção --count, pressione Ctrl+C para interromper a captura ou o rastreamento de pacotes.

Exemplo: Capturar pacotes que são recebidos em vmnic0 de um endereço IP 192.168.25.113

Para capturar os primeiros 60 pacotes de um sistema de origem que recebeu o endereço IP 192.168.25.113 em vmnic0 e salvá-los em um arquivo chamado vmnic0_rcv_srcip.pcap, execute o seguinte pktcap-uw comando: 

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

O que Fazer Depois

Se o conteúdo do pacote for salvo em um arquivo, copie o arquivo do host ESXi para o sistema que executa uma ferramenta de análise gráfica, como o Wireshark, e abra-o na ferramenta para examinar os detalhes do pacote.