您可以在 NSX Manager 中央 CLI 上获取有关分布式防火墙的大多数信息。

使用 Show dfw 中央 CLI 命令

获取所需信息的途径如下所示:

  1. 使用 admin 凭据登录到 NSX Manager 中央 CLI。

  2. 运行以下命令:

    1. 运行 show cluster all 命令以显示所有群集。 
      nsxmgr>show cluster all
No.  Cluster Name                Cluster Id     Datacenter Name     Firewall Status
1    Compute Cluster A           domain-c33     Datacenter Site A   Enabled
2    Management & Edge Cluster   domain-c41     Datacenter Site A   Enabled
    2. 运行 show cluster <clusterID> 命令以显示特定群集中的主机。 
      nsxmgr> show cluster domain-c33
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
No.  Host Name            Host Id         Installation Status
1    esx-02a.corp.local   host-32          Enabled
2    esx-01a.corp.local   host-28          Enabled
    3. 运行 show host <hostID> 以显示主机上的所有虚拟机。 
      nsxmgr> show host host-28
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
Host: esx-01a.corp.local
No.  VM Name    VM Id     Power Status
1    web-02a    vm-219    on
2    web-01a    vm-216    on
3    win8-01a   vm-206    off
4    app-02a    vm-264    on
    4. 运行 show vm <vmID> 命令以显示虚拟机的信息,包括筛选器名称和 vNIC ID: 
      nsxmgr> show vm vm-264
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
Host: esx-01a.corp.local
Host-ID: host-28
VM: app-02a
Virtual Nics List:
1.
Vnic Name      app-02a - Network adapter 1
Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Filters        nic-79396-eth0-vmware-sfw.2
    5. 记下 vNIC ID 并运行进一步的命令,例如,show dfw vnic <vnicID>show dfw host <hostID> filter <filter ID> rules
      nsxmgr> show dfw vnic 502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Vnic Name      app-02a - Network adapter 1
Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Mac Address    00:50:56:ae:6c:6b
Port Group Id  dvportgroup-385
Filters        nic-79396-eth0-vmware-sfw.2

nsxmgr> show dfw host host-28 filter nic-79396-eth0-vmware-sfw.2 rules
ruleset domain-c33 {
  # Filter rules
  rule 1012 at 1 inout protocol any from addrset ip-securitygroup-10 to addrset ip-securitygroup-10 drop with log;
  rule 1013 at 2 inout protocol any from addrset src1013 to addrset src1013 drop;
  rule 1011 at 3 inout protocol tcp from any to addrset dst1011 port 443 accept;
  rule 1011 at 4 inout protocol icmp icmptype 8 from any to addrset dst1011 accept;
  rule 1010 at 5 inout protocol tcp from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 port 8443 accept;
  rule 1010 at 6 inout protocol icmp icmptype 8 from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 accept;
  rule 1009 at 7 inout protocol tcp from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 port 3306 accept;
  rule 1009 at 8 inout protocol icmp icmptype 8 from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 accept;
  rule 1003 at 9 inout protocol ipv6-icmp icmptype 136 from any to any accept;
  rule 1003 at 10 inout protocol ipv6-icmp icmptype 135 from any to any accept;
  rule 1002 at 11 inout protocol udp from any to any port 67 accept;
  rule 1002 at 12 inout protocol udp from any to any port 68 accept;
  rule 1001 at 13 inout protocol any from any to any accept;
}

ruleset domain-c33_L2 {
  # Filter rules
  rule 1004 at 1 inout ethertype any from any to any accept;
}

使用 export host-tech-support 中央 CLI 命令

可以使用 export host-tech-support 命令将 ESXi 主机支持包导出到指定的服务器中。此外,该命令还在指定的主机上收集与 NSX 相关的输出和文件(不限于以下内容),例如:

  • VMKernel 和 vsfwd 日志文件
  • 筛选器列表
  • DFW 规则列表
  • 容器列表
  • SpoofGuard 详细信息
  • 与主机相关的信息
  • 与 IP 发现相关的信息
  • RMQ 命令输出
  • 安全组、服务配置文件和实例详细信息
  • 与 ESX CLI 相关的输出

该命令还会移除 NSX Manager 上的任何临时文件。

要收集与 NSX 相关的输出和文件,请执行以下操作:

  1. 使用 admin 凭据登录到 NSX Manager 中央 CLI。

  2. 运行以下命令:

    1. show cluster all - 查找所需的主机 ID。
    2. export host-tech-support host-id scp uid@ip:/path -生成 NSX 技术支持包并将其复制到指定的服务器中。

有关详细信息,请参阅: