查看数据包在通过 vSphere Network Appliance (DVFilter) 时的变化情况。

关于此任务

DVFilter 是驻留在虚拟机适配器与虚拟交换机之间的流量中的一种代理。它们可以拦截数据包,以保护虚拟机免受安全攻击和避免不需要的流量。

过程

  1. (可选) : 要查找想要监控的 DVFilter 的名称,请在 ESXi Shell 中运行 summarize-dvfilter 命令。

    该命令的输出内容中包含主机上部署的 DVFilter 的快速通道和慢速通道代理。

  2. 运行带有 --dvfilter dvfilter_name 参数和相应选项的 pktcap-uw 实用程序,监控特定点的数据包,筛选捕获的数据包并将结果保存到文件。
    pktcap-uw
    						--dvFilter
    						dvfilter_name
    						--capture PreDVFilter|PostDVFilter [filter_options] [--outfile
    						pcap_file_path [--ng]] [--count
    						number_of_packets]

    其中方括号 [] 中所括的是 pktcap-uw --dvFilter vmnicX 命令的可选项,竖线 | 表示替代值。

    1. 使用 --capture 选项监控 DVFilter 拦截数据包之前或之后的数据包。

      pktcap-uw 命令选项

      目标

      --capture PreDVFilter

      捕获进入 DVFilter 之前的数据包。

      --capture PostDVFilter

      捕获离开 DVFilter 之后的数据包。

    2. 使用 filter_options 可根据源和目标地址、VLAN ID、VXLAN ID、第 3 层协议和 TCP 端口筛选数据包。

      例如,要监控 IP 地址为 192.168.25.113 的源系统的数据包,请使用 --srcip 192.168.25.113 筛选选项。

    3. 使用相应选项可将每个数据包的内容或部分数据包的内容保存到 .pcap.pcapng 文件中。
      • 要将数据包保存到 .pcap 文件中,请使用 --outfile 选项。

      • 要将数据包保存到 .pcapng 文件中,请使用 --ng--outfile 选项。

      可以在 Wireshark 等网络分析器工具中打开该文件。

      默认情况下,pktcap-uw 工具会将数据包文件保存到 ESXi 文件系统的根文件夹中。

    4. 使用 --count 选项可监控一定数量的数据包。
  3. 如果未使用 --count 选项限制数据包的数量,请按 Ctrl+C 停止捕获或跟踪数据包。

下一步做什么

如果已将数据包的内容保存到某个文件中,请将该文件从 ESXi 主机复制到运行图形分析器工具(如 Wireshark)的系统上,然后在该工具中将其打开以检查数据包详细信息。