Überprüfen Sie den Host-Datenverkehr in ein externes Netzwerk, indem Sie Pakete an bestimmten Punkten zwischen vSphere Standard Switch oder vSphere Distributed Switch und einem physikalischen Adapter erfassen.

Warum und wann dieser Vorgang ausgeführt wird

Sie können einen bestimmten Erfassungspunkt im Datenpfad zwischen einem virtuellen Switch und einem physikalischen Adapter festlegen oder einen Erfassungspunkt durch die Richtung des Datenverkehrs im Hinblick auf den Switch und die Nähe zur Paketquelle oder zum Paketziel bestimmen. Informationen zu unterstützten Erfassungspunkten finden Sie unter Erfassungspunkte des Dienstprogramms pktcap-uw.

Prozedur

  1. (Optional) : Sie finden den Namen des physikalischen Adapters, den Sie überprüfen wollen, in der Host-Adapter-Liste.
    • Klicken Sie im vSphere Web Client unter der Registerkarte Verwalten für den Host auf Netzwerke und wählen Sie Physikalische Adapter.

    • Starten Sie für die Listenansicht der physikalische Adapter und für die Überprüfung ihres Status in der ESXi Shell für den Host den folgenden ESXCLI-Befehl:

      esxcli network nic list
      

    Jeder physikalische Adapter wird dargestellt als vmnicX. X ist die Nummer, die ESXi dem physikalischen Adapterport zugeordnet hat.

  2. Starten Sie in der ESXi Shell an den Host den Befehl pktcap-uw mit dem Argument --uplink vmnicX und mit Optionen, die Pakete an einem bestimmten Punkt zu überwachen, erfasste Pakete zu filtern und das Ergebnis in einer Datei zu speichern.
    pktcap-uw --uplink vmnicX [--capture capture_point|--dir 0|1]  [filter_options] [--outfile pcap_file_path [--ng]] [--count number_of_packets]

    Die Optionen des Befehls pktcap-uw --uplink vmnicX stehen in eckigen Klammern [] und die vertikalen Balken | stellen die alternativen Werte dar.

    Wenn Sie den Befehl pktcap-uw --uplink vmnicX ohne Optionen starten, erhalten Sie den Inhalt von Paketen, die am Standard-Switch oder Distributed Switch in der Konsolenausgabe eingehen, wenn sie umgeschaltet werden.

    1. Verwenden Sie die Option --capture, um Pakete an einem anderen Erfassungspunkt oder die Option --dir in einer anderen Richtung des Datenverkehrs zu überprüfen.

      Befehlsoption pktcap-uw

      Ziel

      --capture UplinkSnd

      Überwacht Pakete, unmittelbar bevor sie in den physikalischen Adapter eingehen.

      --capture UplinkRcv

      Überwacht Pakete, unmittelbar nachdem sie in die Netzwerkkarten des physikalischen Adapters eingehen.

      --dir 1

      Überwacht Pakete, die den virtuellen Switch verlassen.

      --dir 0

      Überwacht Pakete, die in den virtuellen Switch eingehen.

    2. Verwenden Sie Filteroptionen, um Pakete nach Quell- und Zieladresse, VLAN ID, VXLAN ID, Schicht 3-Protokoll und TCP-Port zu filtern.

      Zum Überwachen der Pakete von einem Quellsystem – beispielsweise mit der IP-Adresse 192.168.25.113 – verwenden Sie z. B. die Filteroption --srcip 192.168.25.113.

    3. Verwenden Sie Optionen zum Speichern der Inhalte jedes Pakets oder einer bestimmten Anzahl von Paketen in eine .pcap- oder .pcapng-Datei.
      • Um Pakete in eine .pcap-Datei zu speichern, verwenden Sie die Option --outfile.

      • Um Pakete in eine .pcapng-Datei zu speichern, verwenden Sie die Optionen --ng und --outfile.

      Sie können die Datei in einem Netzwerkanalysetool wie Wireshark öffnen.

      Standardmäßig speichert das Dienstprogramm pktcap-uw die Paketdateien im Root-Ordner des ESXi-Dateisystems.

    4. Verwenden Sie die Option --count, um nur eine bestimmte Anzahl von Paketen zu überwachen.
  3. Wenn Sie die Anzahl der Pakete nicht mit der Option --count beschränkt haben, drücken Sie STRG+C, um die Erfassung oder Nachverfolgung von Paketen zu beenden.

Pakete erfassen, die bei vmnic0 von einer IP-Adresse 192.168.25.113 eingehen

Um die ersten 60 Pakete von einem Quellsystem zu erfassen, dem die IP-Adresse 192.168.25.113 bei vmnic0 zugewiesen ist, und sie in einer Datei mit der Bezeichnung vmnic0_rcv_srcip.pcap zu speichern, starten Sie den Befehl pktcap-uw:

 pktcap-uw --uplink vmnic0 --capture UplinkRcv --srcip 192.168.25.113 --outfile vmnic0_rcv_srcip.pcap --count 60

Nächste Maßnahme

Wenn der Inhalt des Pakets in eine Datei gespeichert wird, kopieren Sie die Datei vom ESXi-Host auf das System, auf dem ein grafisches Analysetool wie Wireshark ausgeführt wird, und öffnen Sie es in diesem Tool, um die Paketdetails zu untersuchen.