Examine como os pacotes mudam quando passam por um vSphere Network Appliance (DVFilter).

DVFilters são agentes que residem no fluxo entre um adaptador de máquina virtual e um comutador virtual. Eles interceptam pacotes para proteger as máquinas virtuais contra ataques de segurança e tráfego indesejado.

Procedimento

  1. (Opcional) Para localizar o nome do DVFilter que você deseja monitorar, no ESXi Shell, execute o comando summarize-dvfilter.
    A saída do comando contém os agentes de atalho e de caminho lento dos DVFilters implantados no host.
  2. Execute o utilitário pktcap-uw com o argumento --dvfilter dvfilter_name e com opções para monitorar pacotes em um determinado ponto, filtrar pacotes capturados e salvar o resultado em um arquivo. 
    pktcap-uw --dvFilter dvfilter_name --capture PreDVFilter|PostDVFilter [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    em que os colchetes [] incluem itens opcionais do comando pktcap-uw --dvFilter vmnicX e as barras verticais | representam valores alternativos.

    1. Use a opção --capture para monitorar pacotes antes ou depois que o DVFilter os interceptar.
      Opção de comando pktcap-uw Objetivo
      --capture PreDVFilter Capture pacotes antes que eles entrem no DVFilter.
      --capture PostDVFilter Capture pacotes depois que eles deixarem o DVFilter.
    2. Use um filter_options para filtrar pacotes de acordo com o endereço de origem e destino, a ID da VLAN, a ID da VXLAN, o protocolo de camada 3 e a porta TCP.
      Por exemplo, para monitorar pacotes de um sistema de origem que tenha o endereço IP 192.168.25.113, use a opção de filtro --srcip 192.168.25.113.
    3. Use as opções para salvar o conteúdo de cada pacote ou o conteúdo de um número limitado de pacotes em um arquivo .pcap ou .pcapng.
      • Para salvar pacotes em um arquivo .pcap, use a opção --outfile.
      • Para salvar pacotes em um arquivo .pcapng, use as opções --ng e --outfile.

      Você pode abrir o arquivo em uma ferramenta de análise de rede, como o Wireshark.

      Por padrão, o utilitário pktcap-uw salva os arquivos de pacote na pasta raiz do sistema de arquivos ESXi.

    4. Use a opção--count para monitorar apenas alguns pacotes.
  3. Se você não tiver limitado o número de pacotes usando a opção --count, pressione Ctrl+C para interromper a captura ou o rastreamento de pacotes.

O que Fazer Depois

Se o conteúdo do pacote for salvo em um arquivo, copie o arquivo do host ESXi para o sistema que executa uma ferramenta de análise gráfica, como o Wireshark, e abra-o na ferramenta para examinar os detalhes do pacote.