可使用流跟踪检查数据包的路径。“流跟踪”跟踪数据包的传输节点级别路径。跟踪数据包通过分段覆盖网络,但对于连接到分段的接口不可见。也就是说,实际上不会将任何数据包传送到测试数据包的预期接收方。

对于支持 VLAN 的分段,请调用 PUT /api/v1/infra/ops-global-config API 以启用带内网络遥测 (In-band Network Telemetry, INT)。

示例请求:

URL:

PUT https:/{{nsx-manager-ip}}/policy/api/v1/infra/ops-global-config

正文

{
 "display_name": "ops-global-config",
 "in_band_network_telementry": {
 "dscp_value": 2,
 "indicator_type": "DSCP_VALUE"
 },
"path": "/infra/ops-global-config",
"relative_path": "ops-global-config",
 "_revision": 0
}

如果流跟踪请求已在进行中,则无法配置 INT。有关带内网络遥测 API 的详细信息,请参见 NSX API 指南。VLAN 流跟踪仅支持 TCP/UDP 和 ICMP 数据包。

Edge 节点不支持 VLAN 跟踪。尝试在 Edge 节点上插入跟踪数据包会导致 API 验证错误。对于 VLAN 流跟踪,如果注入的跟踪数据包通过 Edge 节点,则生成的跟踪将不完整,并且仅在 ESX 节点上显示观察结果。

从 4.0 或更高版本开始,您可以在处理数据包时查看 IPSec VPN 特定观察结果。

注: NSX 流跟踪无法与 HCX 扩展网络配合使用。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择安全规划和故障排除 > 流量分析 > 流跟踪 > 开始
  3. 选择 IPv4 或 IPv6 地址类型。
  4. 选择一种流量类型。

    对于 IPv4 地址,流量类型选项为“单播”、“多播”和“广播”。对于 IPv6 地址,流量类型选项为“单播”或“多播”。

    注意:VMware Cloud (VMC) 环境中不支持多播和广播。

  5. (可选) 选择一种协议并提供相关信息。

    协议

    参数

    DHCP

    选择 DHCP OP 代码:引导请求引导应答

    DHCPv6

    选择 DHCP 消息类型:要求通告请求应答

    注:

    仅当为 IP 地址选择了 IPv6 时,此选项才可用。

    DNS

    指定地址并选择消息类型:查询响应

    ICMP

    指定 ICMP ID 和序列。

    ICMPv6

    指定 ICMP ID 和序列。

    注:

    仅当为 IP 地址选择了 IPv6 时,此选项才可用。

    TCP

    指定源端口、目标端口和 TCP 标记。

    UDP

    指定源端口和目标端口。

    ARP

    选择 ARP OP 代码:ARP 请求ARP 回复

    NDP

    对于单播流量,请指定目标 IP 地址。

    对于多播流量,请指定目标 IP目标 MAC 地址。

    注:

    仅当为 IP 地址选择了 IPv6 时,此选项才可用。

    对于 TCP 协议,请注意以下几点:

    • 默认标记为 SYN。

    • SYN 不能与 RST 或 FIN 组合使用。

    • 如果未选择 SYN,则必须选择 ACK 或 RST。

    • ACK 不能与 FIN、PSH 或 URG 组合使用。

  6. 根据流量类型,指定源和目标信息。
    注:

    对于跨不同 VLAN 分段的 VLAN 跟踪,请确保使用以下选项之一设置相应的 MAC 地址:

    • NSX Manager 用户界面中,选择 IP – Mac 作为目标类型,然后选择第 2 层。键入物理网关的目标 IP 地址和 MAC 地址,此网关可以将数据包转发到目标 VLAN 网络。

    • 使用 API 执行流跟踪时,请将 routed 设置为 false,并使用可将数据包转发到目标 VLAN 网络的物理网关的 MAC 地址。有关流跟踪 API 的详细信息,请参见 NSX API 指南

    流量类型

    目标

    单播

    选择虚拟机或逻辑端口。对于虚拟机:

    • 从下拉列表中选择一个虚拟机。

    • 选择虚拟接口。

    • 如果在虚拟机中安装了 VMtools,或者使用 OpenStack 插件部署了虚拟机,则会显示 IP 地址和 MAC 地址(在这种情况下,将使用地址绑定)。如果虚拟机具有多个 IP 地址,请从下拉列表中选择一个地址。

    • 如果未显示 IP 地址和 MAC 地址,请在文本框中输入 IP 地址和 MAC 地址。

    对于逻辑端口:

    • 选择连接类型:VIFDHCPEdge 上行链路Edge 集中式服务

    • 选择端口。

    选择虚拟机、逻辑端口或 IP-MAC。对于虚拟机:

    • 从下拉列表中选择一个虚拟机。

    • 选择虚拟接口。

    • 如果在虚拟机中安装了 VMtools,或者使用 OpenStack 插件部署了虚拟机,则会显示 IP 地址和 MAC 地址(在这种情况下,将使用地址绑定)。如果虚拟机具有多个 IP 地址,请从下拉列表中选择一个地址。

    • 如果未显示 IP 地址和 MAC 地址,请在文本框中输入 IP 地址和 MAC 地址。

    对于逻辑端口:

    • 选择连接类型:VIFDHCPEdge 上行链路Edge 集中式服务

    • 选择端口。

    对于 IP-MAC:

    • 选择跟踪类型(第 2 层或第 3 层)。对于第 2 层,输入一个 IP 地址和 MAC 地址。对于第 3 层,输入一个 IP 地址。

    多播

    同上。

    输入一个 IP 地址。它必须是 224.0.0.0-239.255.255.255 范围内的多播地址。

    广播

    同上。

    输入一个子网前缀长度。

  7. (可选) 单击高级设置以查看高级选项。

    在左侧的列中,输入以下字段所需的值或输入:

    选项

    描述

    帧大小

    默认值为 128。

    TTL

    默认值为 64。

    超时 (毫秒)

    默认值为 10000。

    EtherType

    默认值为 2048。

    负载类型

    选择 Base64十六进制纯文本二进制十进制

    负载数据

    根据所选类型设置负载格式。

  8. 单击跟踪

    输出包含一个图形化的拓扑图和一个表(其中列出观察到的数据包)。列出的第一个数据包具有观察类型 Injected,并显示在注入点插入的数据包。

    您可以为显示的观察应用一个筛选器(全部已传送已丢弃)。如果具有丢弃的观察,则默认应用已丢弃筛选器。否则,将应用全部筛选器。

    该图表显示了底板和路由器链接。请注意,不显示桥接信息。