CLI-Befehle für DFW (Distributed Firewall, verteilte Firewall)

Sie können mit der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager umfangreiche Informationen über verteilte Firewalls abrufen.

Verwenden der Befehle der zentralen Befehlszeilenschnittstelle (CLI) von Show dfw

Die gewünschten Informationen lassen sich in der folgenden Reihenfolge darstellen:

Melden Sie sich bei der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager mit den Admin-Anmeldedaten an.

Führen Sie die folgenden Befehle aus:

Führen Sie den Befehl show cluster all aus, um alle Cluster anzuzeigen.

nsxmgr>show cluster all
No.  Cluster Name                Cluster Id     Datacenter Name     Firewall Status
1    Compute Cluster A           domain-c33     Datacenter Site A   Enabled
2    Management & Edge Cluster   domain-c41     Datacenter Site A   Enabled

Führen Sie den Befehl show cluster <clusterID> aus, um Hosts in einem bestimmten Cluster anzuzeigen.

nsxmgr> show cluster domain-c33
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
No.  Host Name            Host Id         Installation Status
1    esx-02a.corp.local   host-32          Enabled
2    esx-01a.corp.local   host-28          Enabled

Führen Sie show host <hostID> aus, um alle VMs auf einem Host anzuzeigen.

nsxmgr> show host host-28
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
Host: esx-01a.corp.local
No.  VM Name    VM Id     Power Status
1    web-02a    vm-219    on
2    web-01a    vm-216    on
3    win8-01a   vm-206    off
4    app-02a    vm-264    on

Führen Sie den Befehl show vm <vmID> aus, um Informationen für eine VM anzuzeigen, einschließlich Filternamen und vNIC-IDs:

nsxmgr> show vm vm-264
Datacenter: Datacenter Site A
Cluster: Compute Cluster A
Host: esx-01a.corp.local
Host-ID: host-28
VM: app-02a
Virtual Nics List:
1.
Vnic Name      app-02a - Network adapter 1
Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Filters        nic-79396-eth0-vmware-sfw.2

Notieren Sie die vNIC-ID und führen Sie weitere Befehle wie show dfw vnic <vnicID> und show dfw host <hostID> filter <filter ID> rules aus:

nsxmgr> show dfw vnic 502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Vnic Name      app-02a - Network adapter 1
Vnic Id        502ef2fa-62cf-d178-cb1b-c825fb300c84.000
Mac Address    00:50:56:ae:6c:6b
Port Group Id  dvportgroup-385
Filters        nic-79396-eth0-vmware-sfw.2

nsxmgr> show dfw host host-28 filter nic-79396-eth0-vmware-sfw.2 rules
ruleset domain-c33 {
  # Filter rules
  rule 1012 at 1 inout protocol any from addrset ip-securitygroup-10 to addrset ip-securitygroup-10 drop with log;
  rule 1013 at 2 inout protocol any from addrset src1013 to addrset src1013 drop;
  rule 1011 at 3 inout protocol tcp from any to addrset dst1011 port 443 accept;
  rule 1011 at 4 inout protocol icmp icmptype 8 from any to addrset dst1011 accept;
  rule 1010 at 5 inout protocol tcp from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 port 8443 accept;
  rule 1010 at 6 inout protocol icmp icmptype 8 from addrset ip-securitygroup-10 to addrset ip-securitygroup-11 accept;
  rule 1009 at 7 inout protocol tcp from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 port 3306 accept;
  rule 1009 at 8 inout protocol icmp icmptype 8 from addrset ip-securitygroup-11 to addrset ip-securitygroup-12 accept;
  rule 1003 at 9 inout protocol ipv6-icmp icmptype 136 from any to any accept;
  rule 1003 at 10 inout protocol ipv6-icmp icmptype 135 from any to any accept;
  rule 1002 at 11 inout protocol udp from any to any port 67 accept;
  rule 1002 at 12 inout protocol udp from any to any port 68 accept;
  rule 1001 at 13 inout protocol any from any to any accept;
}

ruleset domain-c33_L2 {
  # Filter rules
  rule 1004 at 1 inout ethertype any from any to any accept;
}

Verwenden des Befehls export host-tech-support der zentralen Befehlszeilenschnittstelle (CLI)

Der Befehl export host-tech-support ermöglicht es Ihnen, ein ESXi-Host-Support-Paket auf einen festgelegten Server zu exportieren. Zudem erfasst dieser Befehl mit NSX in Zusammenhang stehende Ausgaben und Dateien auf festgelegten Hosts. Hierzu zählen unter anderem die folgenden Elemente:

VMKernel- und vsfwd-Protokolldateien
Liste mit Filtern
Liste mit DFW-Regeln
Liste mit Containern
SpoofGuard-Details
Mit dem Host in Zusammenhang stehende Informationen
Mit IP-Erkennung in Zusammenhang stehende Informationen
RMQ-Befehlsausgaben
Details zu Sicherheitsgruppe, Dienstprofil und Instanz
Mit der ESX-CLI in Zusammenhang stehende Ausgaben

Dieser Befehl entfernt auch alle temporären Dateien auf NSX Manager.

So erfassen Sie mit NSX in Zusammenhang stehende Ausgaben und Dateien:

Melden Sie sich bei der zentralen Befehlszeilenschnittstelle (CLI) von NSX Manager mit den Admin-Anmeldedaten an.
Führen Sie die folgenden Befehle aus:
1. show cluster all – Mit diesem Befehl können Sie die erforderliche Host-ID ermitteln.
2. export host-tech-support host-id scp uid@ip:/path – Mit diesem Befehl können Sie das technische Support-Paket für NSX generieren und auf einen festgelegten Server kopieren.

Weitere Informationen finden Sie hier:

Befehlszeilen-Schnellreferenz zu NSX.
Befehlszeilenschnittstellen-Referenz zu NSX.