查看数据包在通过 vSphere Network Appliance (DVFilter) 时的变化情况。

DVFilter 是驻留在虚拟机适配器与虚拟交换机之间的流量中的一种代理。它们可以拦截数据包,以保护虚拟机免受安全攻击和避免不需要的流量。

过程

  1. (可选) 要查找想要监控的 DVFilter 的名称,请在 ESXi Shell 中运行 summarize-dvfilter 命令。
    该命令的输出内容中包含主机上部署的 DVFilter 的快速通道和慢速通道代理。
  2. 运行带有 --dvfilterdvfilter_name 参数和相应选项的 pktcap-uw 实用程序,监控特定点的数据包,筛选捕获的数据包并将结果保存到文件。 
                pktcap-uw
            --dvFilter
            dvfilter_name
            --capture PreDVFilter|PostDVFilter [filter_options] [--outfilepcap_file_path [--ng]] [--countnumber_of_packets]

    其中方括号 [] 中所括的是 pktcap-uw--dvFilter vmnicX 命令的可选项,竖线 | 表示替代值。

    1. 使用 --capture 选项监控 DVFilter 拦截数据包之前或之后的数据包。
      pktcap-uw 命令选项 目标
      --capture PreDVFilter 捕获进入 DVFilter 之前的数据包。
      --capture PostDVFilter 捕获离开 DVFilter 之后的数据包。
    2. 使用 filter_options 可根据源和目标地址、VLAN ID、VXLAN ID、第 3 层协议和 TCP 端口筛选数据包。
      例如,要监控来自 IP 地址为 192.168.25.113 的源系统的数据包,请使用 --srcip 192.168.25.113 筛选选项。
    3. 使用相应选项可将每个数据包的内容或部分数据包的内容保存到 .pcap.pcapng 文件中。
      • 要将数据包保存到 .pcap 文件中,请使用 --outfile 选项。
      • 要将数据包保存到 .pcapng 文件中,请使用 --ng--outfile 选项。

      可以在 Wireshark 等网络分析器工具中打开该文件。

      默认情况下,pktcap-uw 实用程序会将数据包文件保存到 ESXi 文件系统的根文件夹。

    4. 使用 --count 选项可监控一定数量的数据包。
  3. 如果未使用 --count 选项限制数据包的数量,请按 Ctrl+C 停止捕获或跟踪数据包。

下一步做什么

如果已将数据包的内容保存到某个文件中,请将该文件从 ESXi 主机复制到运行图形分析器工具(如 Wireshark)的系统上,然后在该工具中将其打开以检查数据包详细信息。